تعريف المستخدمين والمجموعات وأجهزة الكمبيوتر

  • 10 دقائق

في AD DS، يجب توفير حساب مستخدم لكافة المستخدمين الذين يحتاجون إلى الوصول إلى موارد شبكة الاتصال. باستخدام حساب المستخدم هذا، يمكن للمستخدمين مصادقة مجال AD DS والوصول إلى موارد الشبكة.

في Windows Server، حساب مستخدم هو عنصر يحتوي على كافة المعلومات التي تعرف مستخدم. يتضمن حساب المستخدم:

  • اسم المستخدم.
  • كلمة مرور مستخدم.
  • عضويات المجموعة.

يحتوي حساب المستخدم أيضًا على إعدادات يمكنك تكوينها بناءً على متطلبات المؤسسة.

لقطة شاشة لحساب مستخدم Jane Dow في مركز إدارة Active Directory.

اسم المستخدم وكلمة المرور لحساب المستخدم بمثابة بيانات اعتماد تسجيل الدخول الخاصة بالمستخدم. يتضمن عنصر المستخدم أيضًا العديد من السمات الأخرى التي تصف المستخدم وتقوم بإدارته. يمكنك استخدام الأدوات التالية لإنشاء كائنات المستخدم وإدارتها في AD DS:

  • مركز إدارة Active Directory.
  • مستخدمي وأجهزة الكمبيوتر Active Directory.
  • مركز إدارة Windows.
  • Windows PowerShell.
  • أداة سطر الأوامر dsadd.

ما هي حسابات الخدمة المدارة؟

تحتوي العديد من التطبيقات على خدمات تقوم بتثبيتها على الخادم الذي يستضيف البرنامج. عادةً ما يتم تشغيل هذه الخدمات عند بدء تشغيل الخادم أو يتم تشغيلها بواسطة أحداث أخرى. غالبًا ما تعمل الخدمات في الخلفية ولا تتطلب أي تفاعل من المستخدم. لكي تبدأ الخدمة وتقوم بالمصادقة، فإنك تستخدم حساب خدمة. حساب خدمة قد يكون حسابًا محليًا لجهاز كمبيوتر، مثل خدمة محلية مضمنة أو خدمة شبكة اتصال أو حسابات نظام محلي. يمكنك أيضًا تكوين حساب خدمة لاستخدام حساب يستند إلى المجال موجود في AD DS.

للمساعدة في الإدارة المركزية والوفاء بمتطلبات البرنامج، تختار العديد من المؤسسات استخدام حساب يستند إلى المجال لتشغيل خدمات البرنامج. على الرغم من أن هذا يوفر بعض الفوائد أكثر من استخدام حساب محلي، فإن هناك عددًا من التحديات المرتبطة، مثل ما يلي:

  • قد يكون من الضروري بذل جهد إداري إضافي لإدارة كلمة مرور حساب الخدمة بأمان.
  • قد يكون من الصعب تحديد مكان استخدام حساب يستند إلى مجال كحساب خدمة.
  • قد يكون من الضروري بذل جهد إداري إضافي لإدارة اسم الخدمة الأساسي.

يدعم Windows Server عنصر AD DS، الذي يسمى حساب خدمة مدارة، والذي تستخدمه لتسهيل إدارة حساب الخدمة. حساب خدمة مدارة هو فئة عنصر AD DS التي تمكن:

  • إدارة مبسطة لكلمات المرور.
  • إدارة مبسطة لاسم الخدمة الأساسي.

ما هي حسابات الخدمات المدارة الخاصة بالمجموعات؟

تمكنك حسابات الخدمات المُدارة للمجموعة من توسيع إمكانيات حسابات الخدمة المدارة القياسية إلى أكثر من خادم واحد في المجال. في سيناريوهات مزرعة الخوادم مع مجموعات موازنة تحميل الشبكة (NLB) أو خوادم IIS، غالبا ما تكون هناك حاجة لتشغيل خدمات النظام أو البرنامج ضمن نفس حساب الخدمة. لا يمكن لحسابات الخدمة المدارة القياسية توفير وظائف حساب الخدمة المدارة إلى الخدمات التي يتم تشغيلها على أكثر من خادم واحد. باستخدام حسابات خدمة مدارة للمجموعة، يمكنك تكوين خوادم متعددة لاستخدام نفس حساب الخدمة المدارة والاحتفاظ بالفوائد التي توفرها حسابات الخدمة المدارة، مثل الصيانة التلقائية لكلمة المرور والإدارة المبسطة لاسم الخدمة الأساسي.

لدعم وظائف حساب خدمة مدارة لمجموعة يجب أن تفي البيئة الخاصة بك بالمتطلبات التالية:

  • يجب إنشاء مفتاح جذر KDS على وحدة التحكم بالمجال في المجال.

لإنشاء مفتاح جذر KDS، قم بتشغيل الأمر التالي من الوحدة النمطية Active Directory لـ Windows PowerShell على وحدة التحكم بالمجال لـ Windows Server

Add-KdsRootKey –EffectiveImmediately

يمكنك إنشاء حسابات خدمة مدارة للمجموعة باستخدام New-ADServiceAccountWindows PowerShell cmdlet –PrinicipalsAllowedToRetrieveManagedPassword مع المعلمة.

على سبيل المثال:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

ما هي عناصر المجموعة؟

على الرغم من أنه قد يكون من العملي تعيين الأذونات والحقوق لحسابات المستخدمين الفردية في الشبكات الصغيرة، فإن هذا يصبح غير عملي وغير فعال في شبكات المؤسسات الكبيرة.

على سبيل المثال، إذا احتاج العديد من المستخدمين إلى نفس مستوى الوصول إلى مجلد ما، فمن الأفضل إنشاء مجموعة تحتوي على حسابات المستخدمين المطلوبة، ثم تعيين الأذونات المطلوبة للمجموعة.

تلميح

كميزة إضافية، يمكنك تغيير أذونات ملفات المستخدمين بإضافتها أو إزالتها من المجموعات بدلاً من تحرير أذونات الملف مباشرةً.

قبل تطبيق المجموعات في مؤسستك، يجب عليك فهم نطاق أنواع مجموعات AD DS المختلفة. بالإضافة إلى ذلك، يجب عليك فهم كيفية استخدام أنواع المجموعات لإدارة الوصول إلى الموارد أو تعيين حقوق ومسؤوليات الإدارة.

لقطة شاشة لمربع حوار في صفحة إنشاء مجموعة: مديرو المبيعات في مركز الإدارة لـ Windows.

أنواع المجموعات

في شبكة اتصال المؤسسة Windows Server هناك نوعان من المجموعات، موضحة في الجدول التالي.

نوع المجموعة الوصف
الأمان يتم تمكين الأمان لمجموعات الأمان، ويمكنك استخدامها لتعيين أذونات إلى موارد متعددة. يمكنك استخدام مجموعات الأمان في إدخالات الأذونات في قوائم التحكم في الوصول (ACLs) للمساعدة في التحكم في أمان الوصول إلى الموارد. إذا كنت تريد استخدام مجموعة لإدارة الأمان، يجب أن تكون مجموعة أمان.
التوزيع تستخدم تطبيقات البريد الإلكتروني عادةً مجموعات التوزيع، والتي لم يتم تمكين الأمان فيها. يمكنك أيضًا استخدام مجموعات الأمان كوسيلة لتوزيع تطبيقات البريد الإلكتروني.

نطاقات المجموعة

يدعم Windows Server تحديد النطاق للمجموعات. يحدد نطاق المجموعة نطاق قدرات المجموعة أو أذوناتها وعضوية المجموعة. هناك أربعة نطاقات للمجموعات.

  • محلي. يمكنك استخدام هذا النوع من المجموعة لخوادم مستقلة أو محطات العمل على خوادم أعضاء المجال التي ليست من وحدات التحكم في المجال أو على محطات العمل لأعضاء المجال. لا تتوفر المجموعات المحلية إلا على جهاز الكمبيوتر حيث توجد. الخصائص المهمة للمجموعة المحلية هي:

    • يمكنك تعيين القدرات والأذونات على الموارد المحلية فقط، أي على جهاز الكمبيوتر المحلي.
    • يمكن أن يكون الأعضاء من أي مكان في غابة AD DS.

  • المجال المحلي. يمكنك استخدام هذا النوع من المجموعة بشكل أساسي لإدارة الوصول إلى الموارد أو تعيين حقوق ومسؤوليات الإدارة. توجد مجموعات المجال المحلي على وحدات التحكم في المجال في مجال AD DS ومن ثم، يكون نطاق المجموعة محليًا للمجال الذي توجد فيه. الخصائص المهمة للمجموعات المجال المحلي هي:

    • يمكنك تعيين قدرات وأذونات على موارد المجال المحلية فقط، ما يعني كافة أجهزة الكمبيوتر في المجال المحلي.
    • يمكن أن يكون الأعضاء من أي مكان في غابة AD DS.

  • عمومي يمكنك استخدام هذا النوع من أنواع المجموعات بشكل أساسي لدمج المستخدمين ممن لديهم خصائص متشابهة. على سبيل المثال، قد تستخدم مجموعات عمومية لضم المستخدمين الذين يشكلون جزءًا من قسم أو موقع جغرافي. والخصائص الهامة للمجموعات العمومية هي:

    • يمكنك تعيين القدرات والأذونات في أي مكان في الغابة.
    • يمكن أن يكون الأعضاء من المجال المحلي فقط ويمكن أن تتضمن المستخدمين وأجهزة الكمبيوتر والمجموعات العمومية من المجال المحلي.

  • عالمي. يمكنك استخدام هذا النوع من المجموعة غالبًا في شبكات متعددة المجالات لأنه يجمع بين خصائص كل من مجموعات المجال المحلي والمجموعات العمومية. والخصائص الهامة للمجموعات العالمية هي على وجه التحديد:

    • يمكنك تعيين الصلاحيات والأذونات في أي مكان في الغابة بشكل مشابه لكيفية تعيينها في المجموعات العمومية.
    • يمكن أن يكون الأعضاء من أي مكان في غابة AD DS.

ما هي عناصر جهاز الكمبيوتر؟

أجهزة الكمبيوتر، مثل المستخدمين، هي أساسيات أمان، من حيث:

  • إن لديهم حساب مع اسم تسجيل الدخول وكلمة المرور التي يقوم Windows بتغييرها تلقائيًا على أساس دوري.
  • تقوم بالمصادقة مع المجال.
  • يمكن أن تنتمي إلى مجموعات ولديها حق الوصول إلى الموارد، ويمكنك تكوينها باستخدام نهج المجموعة.

يبدأ حساب جهاز الكمبيوتر دورة حياته عند إنشاء عنصر الكمبيوتر وضمه إلى المجال الخاص بك. بعد ضم حساب الكمبيوتر إلى المجال الخاص بك، تتضمن المهام الإدارية اليومية:

  • تكوين خصائص الكمبيوتر.
  • نقل الكمبيوتر بين الوحدات التنظيمية.
  • إدارة الكمبيوتر نفسه.
  • إعادة تسمية عنصر الكمبيوتر وإعادة ضبطه وتعطيله وتمكينه وحذفه في النهاية.

لقطة شاشة لمربع الحوار من صفحة إنشاء كمبيوتر: SEA-CL5 في مركز إدارة Active Directory.

حاوية أجهزة الكمبيوتر

قبل إنشاء عنصر كمبيوتر في AD DS، يجب أن يكون لديك مكان لوضعه فيه. حاوية أجهزة الكمبيوتر عبارة عن حاوية مضمنة في مجال AD DS. هذه الحاوية هي الموقع الافتراضي لحسابات الكمبيوتر عند انضمام كمبيوتر إلى المجال.

هذه الحاوية ليست وحدة تنظيمية. بدلاً من ذلك، هي عنصر من فئة حاوية. الاسم الشائع هو CN = أجهزة الكمبيوتر. هناك اختلافات طفيفة ولكنها مهمة بين حاوية ووحدة تنظيمية. لا يمكنك إنشاء وحدة تنظيمية داخل حاوية، ومن ثم لا يمكنك تقسيم حاوية أجهزة الكمبيوتر. كما لا يمكنك ربط عنصر نهج المجموعة بحاوية. لذلك، نوصي بإنشاء وحدات تنظيمية مخصصة لاستضافة عناصر الكمبيوتر بدلاً من استخدام حاوية أجهزة الكمبيوتر.