خدمة Active Directory (AD) هي خدمة دليل طورتها مايكروسوفت لشبكات مجال ويندوز. تُستخدم بشكل رئيسي لإدارة أجهزة الكمبيوتر والأجهزة الأخرى في الشبكة. تلعب Active Directory دورًا حيويًا في الأمان وإدارة الموارد في بيئات المؤسسات، مما يسمح للمسؤولين بإدارة الأذونات والوصول إلى موارد الشبكة. سيقدم هذا المقال دليلًا شاملاً لإعداد وإدارة Active Directory في ويندوز، مستعرضًا مكوناته، عملية التثبيت، أفضل الممارسات، وأدوات الإدارة.

ما هي Active Directory؟

فهم Active Directory
Active Directory هو قاعدة بيانات مركزية تخزن معلومات حول المستخدمين وأجهزة الكمبيوتر والموارد الأخرى ضمن الشبكة. وتساهم في:

• المصادقة: التحقق من هوية المستخدمين وضمان حصولهم على الوصول المناسب للموارد.
• التفويض: التحكم فيما يمكن للمستخدمين فعله بناءً على الأذونات والأدوار المخصصة لهم.
• خدمات الدليل: توفير هيكل هرمي لتنظيم وإدارة موارد الشبكة.

المكونات الرئيسية لـ Active Directory

• المجال (Domain): مجموعة من الكائنات الشبكية، مثل المستخدمين وأجهزة الكمبيوتر، يتم إدارتها كوحدة واحدة.
• الغابة (Forest): أعلى مستوى تنظيمي في Active Directory، يتكون من مجال واحد أو أكثر.
• الوحدات التنظيمية (OUs): حاويات تُستخدم لتنظيم المستخدمين والمجموعات وأجهزة الكمبيوتر ضمن المجال، مما يسهل الإدارة وتفويض المهام الإدارية.
• وحدات التحكم في المجال (DCs): الخوادم التي تستضيف قاعدة بيانات Active Directory وتوفر خدمات المصادقة والدليل.
• الدليل العالمي (Global Catalog): مستودع بيانات موزع يحتوي على معلومات عن كل كائن في الدليل، مما يتيح إجراء عمليات بحث فعالة عبر المجالات.

متطلبات إعداد Active Directory

قبل إعداد Active Directory، تأكد من أنك تفي بالمتطلبات التالية:

• خادم ويندوز: يجب أن يكون لديك نسخة مدعومة من Windows Server (2012، 2016، 2019، أو 2022).
• أجهزة الخادم: تأكد من أن الأجهزة الخاصة بك تلبي الحد الأدنى من متطلبات النظام لـ Windows Server.
• عنوان IP ثابت: قم بتعيين عنوان IP ثابت لخادمك لضمان الاتصال المستمر.
• إعداد DNS: يعتمد Active Directory على DNS لحل الأسماء؛ يجب تكوين خادم DNS قبل التثبيت.
• حساب المسؤول: تحتاج إلى امتيازات إدارية على الخادم لتثبيت وتكوين Active Directory.

إعداد Active Directory

• تثبيت Windows Server: ابدأ بتثبيت النسخة التي اخترتها من Windows Server. اتبع معالج التثبيت لإكمال الإعداد.
• تحديث النظام: بعد التثبيت، تأكد من تحديث الخادم من خلال تطبيق آخر التحديثات والتصحيحات.

تكوين عنوان IP ثابت

• فتح إعدادات الشبكة: انقر بزر الماوس الأيمن على أيقونة الشبكة في شريط المهام وحدد "إعدادات الشبكة والإنترنت".
• تغيير خيارات المحول: انقر على "تغيير خيارات المحول" لعرض اتصالات الشبكة.
• تكوين إعدادات IPv4: انقر بزر الماوس الأيمن على محول الشبكة الذي ترغب في تكوينه وحدد "خصائص". اختر "بروتوكول الإنترنت الإصدار 4 (TCP/IPv4)" وانقر على "خصائص".
• تعيين عنوان IP ثابت: حدد "استخدام عنوان IP التالي" وأدخل عنوان IP الثابت الذي ترغب فيه، وقناع الشبكة، وبوابة الافتراضية. تأكد من أن خادم DNS يشير إلى نفسه (على سبيل المثال، 127.0.0.1) لتفعيل وظيفة Active Directory.

تثبيت خدمات مجال Active Directory (AD DS)

• فتح مدير الخادم: انقر على قائمة "ابدأ" واختر "مدير الخادم".
• إضافة الأدوار والميزات: في "مدير الخادم"، انقر على "إدارة" ثم "إضافة الأدوار والميزات".
• اختيار نوع التثبيت: اختر التثبيت القائم على الأدوار أو الميزات وانقر على "التالي".
• اختيار الخادم: اختر الخادم الخاص بك من مجموعة الخوادم وانقر على "التالي".
• اختيار أدوار الخادم: حدد مربع "خدمات مجال Active Directory" وانقر على "التالي". قد يُطلب منك إضافة الميزات المطلوبة؛ اختر "إضافة الميزات".
• إكمال التثبيت: اتبع الإرشادات لإتمام تثبيت دور AD DS.

ترقية الخادم إلى وحدة تحكم المجال

• التكوين بعد التثبيت: بعد تثبيت AD DS، ستظهر إشعار في "مدير الخادم". انقر على الإشعار واختر "ترقية هذا الخادم إلى وحدة تحكم المجال".
• تكوين النشر: اختر "إضافة غابة جديدة" إذا كنت تقوم بإعداد مجال جديد. أدخل اسم المجال (مثل example.local) وانقر على "التالي".
• خيارات وحدة تحكم المجال: اختر مستويات الوظائف الخاصة بالغابة والمجال (يوصى باستخدام Windows Server 2016 أو أعلى). اختر خيارات لخادم DNS والدليل العالمي، وحدد كلمة مرور وضع استعادة خدمات الدليل (DSRM).
• خيارات DNS: إذا طُلب منك حول تفويض DNS، انقر على "التالي".
• خيارات إضافية: حدد موقع قاعدة بيانات Active Directory وملفات السجل ومجلد SYSVOL، أو اقبل الإعدادات الافتراضية.
• مراجعة والتثبيت: راجع اختياراتك وانقر على "تثبيت". سيقوم الخادم بإعادة التشغيل تلقائيًا بعد إتمام الترقية.

التحقق من تثبيت Active Directory

• فتح "المستخدمين وأجهزة الكمبيوتر في Active Directory": بعد إعادة تشغيل الخادم، افتح وحدة تحكم "المستخدمين وأجهزة الكمبيوتر في Active Directory" من قائمة "ابدأ".
• التحقق من هيكل المجال: تحقق من صحة هيكل المجال ويمكنك رؤية الوحدات التنظيمية الافتراضية مثل المستخدمين وأجهزة الكمبيوتر.
• إعداد DNS: تأكد من أن خادم DNS يعمل بشكل صحيح من خلال تشغيل الأمر nslookup والتحقق من أنه يحل اسم المجال.

إدارة Active Directory

إدارة المستخدمين والمجموعات

• إنشاء مستخدمين: في وحدة تحكم "المستخدمين وأجهزة الكمبيوتر في Active Directory"، انقر بزر الماوس الأيمن على الوحدة التنظيمية أو الحاوية المطلوبة، اختر "جديد" ثم "مستخدم". اتبع الإرشادات لإنشاء حساب مستخدم جديد.
• إنشاء مجموعات: لإنشاء مجموعة، انقر بزر الماوس الأيمن على الوحدة التنظيمية أو الحاوية المطلوبة، اختر "جديد" ثم "مجموعة". اختر نوع المجموعة (أمن أو توزيع) وقم بتكوين خصائصها.
• إدارة خصائص المستخدمين: يمكن إدارة المستخدمين من خلال تعديل خصائصهم مثل إعدادات كلمة المرور وعضوية المجموعة وحالة الحساب (مفعل/معطل).
• إنشاء المستخدمين بكميات كبيرة: لإنشاء المستخدمين بكميات كبيرة، يمكن استخدام سكربتات PowerShell أو طرق استيراد CSV لتسهيل العملية.

الوحدات التنظيمية (OUs)

• إنشاء وحدات تنظيمية: لإنشاء وحدة تنظيمية، انقر بزر الماوس الأيمن على المجال أو وحدة تنظيمية موجودة، اختر "جديد" ثم "وحدة تنظيمية". سمِّ الوحدة التنظيمية وانقر على "موافق".
• تفويض التحكم: يمكنك تفويض التحكم الإداري على وحدة تنظيمية عن طريق النقر بزر الماوس الأيمن على الوحدة التنظيمية، واختيار "تفويض التحكم"، ثم اتباع المعالج لمنح الأذونات لمستخدمين أو مجموعات محددة.

السياسات الجماعية

• فهم السياسات الجماعية: تتيح السياسات الجماعية للمسؤولين إدارة إعدادات المستخدمين وأجهزة الكمبيوتر ضمن بيئة Active Directory.
• إنشاء كائنات سياسة المجموعة (GPOs): افتح وحدة تحكم إدارة سياسة المجموعة، انقر بزر الماوس الأيمن على الوحدة التنظيمية أو المجال المطلوب، اختر "إنشاء GPO في هذا المجال، وربطه هنا". سمِّ GPO وانقر على "موافق".
• تحرير GPOs: انقر بزر الماوس الأيمن على GPO واختر "تحرير" لتكوين إعدادات مثل سياسات كلمة المرور، نشر البرمجيات، وخيارات الأمان.
• ربط GPOs: يمكن ربط GPOs بعدة وحدات تنظيمية أو مجالات، مما يتيح تطبيق السياسات بشكل متسق عبر أجزاء مختلفة من المؤسسة.

المراقبة والتقارير

• مركز إدارة Active Directory: استخدم مركز إدارة Active Directory للحصول على واجهة أكثر سهولة لإدارة كائنات AD وتنفيذ مهام مثل توفير المستخدمين والتقارير.
• PowerShell للتقارير: استفد من أوامر PowerShell لجمع المعلومات حول المستخدمين والمجموعات وأجهزة الكمبيوتر في Active Directory. على سبيل المثال، استخدم Get-ADUser لاسترجاع تفاصيل المستخدم أو Get-ADGroupMember لعرض أعضاء المجموعة.
• سجلات الأحداث: راقب "عارض الأحداث" لسجلات تتعلق بـ Active Directory، خاصة تحت "سجلات ويندوز" > "الأمان" و "خدمة الدليل". توفر هذه السجلات رؤى حول أحداث المصادقة والمشاكل الأمنية المحتملة.

النسخ الاحتياطي واستعادة Active Directory

• نسخ احتياطي لـ AD: قم بنسخ بيانات Active Directory احتياطيًا بانتظام لضمان القدرة على استعادتها في حالة حدوث فشل. استخدم "نسخ احتياطي لخادم ويندوز" لإنشاء نسخ احتياطية لحالة النظام.
• استعادة AD: في حالة فقد البيانات أو تلفها، يمكنك استعادة Active Directory من النسخة الاحتياطية باستخدام وضع استعادة خدمات الدليل (DSRM). أعد تشغيل الخادم في وضع DSRM واستخدم أمر ntbackup لتنفيذ الاستعادة.

أفضل الممارسات لإدارة Active Directory

• المراجعات المنتظمة: قم بإجراء مراجعات منتظمة لحسابات المستخدمين، عضويات المجموعات، والأذونات لضمان الامتثال لسياسات الأمان.
• سياسات كلمات المرور: نفذ سياسات كلمات مرور قوية لتعزيز الأمان.考虑 استخدام سياسة المجموعة لفرض متطلبات التعقيد والانتهاء.
• حسابات الخدمة: استخدم حسابات خدمة مخصصة للتطبيقات بدلاً من حسابات المستخدمين الشخصية.حدد أذوناتها إلى الحد الأدنى المطلوب.
• المراقبة والتنبيهات: قم بإعداد المراقبة والتنبيهات للأحداث الحاسمة في AD مثل قفل الحسابات، عمليات تسجيل الدخول الفاشلة، والتغييرات على الحسابات المميزة.
• التوثيق: حافظ على توثيق شامل لبيئة Active Directory الخاصة بك، بما في ذلك التغييرات والإعدادات والسياسات.
• التدريب والوعي: قدم تدريبًا للمسؤولين والمستخدمين حول أفضل الممارسات لاستخدام Active Directory بأمان وفعالية.