يعتبر مفهوم المجال Domain من أهم أساسيات التشبيك في عالم شبكات ميكروسوفت ، و يمكن شرح مفهوم المجال ببساطة بأنه عبارة عن مجموعة من السيرفرات و محطات العمل تتفق فيما بينها على حفظ و إدارة أسماء و كلمات مرور حسابات المستخدمين و الأجهزة في قاعدة بيانات مشتركة يطلق عليها الدليل النشط، و الذي بفضله يستطيع المستخدم الولوج الى حسابه في المجال من أي جهاز كمبيوتر متصل بالشبكة و منتمي للمجال و يكفي أن يدخل اسمه و كلمة المرور الخاصة بحسابه ليجد نفسه قد دخل الى المجال و حصل على جميع إعداداته و كأنه يعمل من جهازه الخاص الذي اعتاد عليه. و يمكن تلخيص ما يقدمه المجال و دليله النشط فيما يلي:

1- يقدم قائمة و قاعدة بيانات مركزية للمستخدمين و كلمات مرورهم يتم حفظها في ملف اسمه NTDS.DIT و يقوم الدليل النشط بإدارته.
2- يوفر إمكانية حفظ الإعدادات الجانبية للمستخدمين Profiles مما يسمح للمستخدمين بنقل إعداداتهم معهم أينما ذهبوا.
3- يسمح بحفظ و استخدام ما يطلق عليه نهج المجموعة Group Policies و التي تمثل لوحة التحكم بكل شيء في المجال حيث تسمح للمدير بالتحكم بكل شيء في السيرفرات و الأجهزة بدءا بالبرامج و كيفية استخدامها و من يحق له استخدامها و انتهاء بالتحكم في كل ما يستطيع المستخدم فعله أو عدم فعله.
4- يوفر مجموعة من السيرفرات مسئولة عن التحقق من هوية المستخدمين قبل السماح لهم بالولوج الى المجال و يطلق على هذه السيرفرات اسم المتحكمات بالمجال Domain Controllers (DC) و هي تقوم بأداء عمليتين أساسيتين : أولا : Authentication و تتمثل بالتعرف على هوية المستخدم عند مقارنة اسمه و كلمة مروره بما هو مخزن لديها في قاعدة البيانات. و ثانيا : Authorization و تتمثل بمراجعة الصلاحيات التي يملكها المستخدم في المجال.
5- يوفر فهرس قابل للبحث لجميع الموارد على الشبكة مثل مجلدات المشاركة و الطابعات و غيرها لتسهيل الوصول إليها.
6- يسمح لك بإنشاء حسابات للمستخدمين بمستويات مختلفة من القوة بدءا من حسابات ضعيفة جدا مثل حسابات الضيوف Guest مرورا بحسابات المستخدمين العاديين وصولا الى حسابات تسمح بالتحكم في كل شيء و هي حسابات مدراء المجال ، كما يسمح لك بإنشاء حسابات لمدراء أقل قوة بمنحهم بعض إمكانيات مدراء المجال و ليس كلها.
7- يسمح لك بتقسيم مجالك الى مجالات فرعية تسمى وحدات مؤسسية Organization Units (OU) تحتوي على حسابات المستخدمين و الأجهزة، ثم تمنح إدارة هذه الوحدات لبعض الأفراد ليكونوا بمثابة مدراء للأقسام.

يتكون الدليل النشط أساسا من مجموعة من الأدوات و الخصائص يمكن التعرف عليها كما يلي:

1- المجالات Domains.
2- مجموعات الأجهزة و المستخدمين User and machine Groups.
3- الوحدات المؤسسية Organization Units.
4- المواقع Sites.
5- أشجار المجالات Trees of Domains.
6- غابات أشجار المجالات Forests of trees of domains.
7- نهج المجموعة Group Policies.

بعد أن تعرفنا على مفهوم المجال Domain سنقوم بتناول باقي أدوات و خصائص الدليل النشط بشيء من التفصيل في هذه الحلقة و التي تليها ثم ننتقل الى الجزء العملي من الشرح.

فيما يخص مجموعات الأجهزة و المستخدمين فهي تستخدم بشكل أساسي لمنح مجموعة ما من المستخدمين الترخيص باستخدام بعض موارد المجال ، فعلى سبيل المثال لنفترض وجود مجلد لدينا يحتوي على بيانات اقتصادية نريد فقط من المحاسبين أن يتمكنوا من الإطلاع على هذه البيانات ، في هذه الحالة بدلا من أن نقوم بالسماح لكل محاسب على حده باستخدام هذه البيانات، نقوم بإنشاء مجموعة و نضيف إليها جميع حسابات المحاسبين، ثم نتوجه الى خصائص المجلد الذي يحتوي على البيانات الهامة و نمنح حق قراءة و تحرير المحتويات لهذه المجموعة فقط.

إذا ً فالمجموعات هي مكونات في الدليل النشط أو الكمبيوتر المحلي و تحتوي على غيرها من المكونات مثل المستخدمين كأعضاء فيها.

من الممكن أن تكون المجموعات في الدليل النشط موجودة داخل حاويات الدليل النشط Active Directory containers أو داخل مجال Domain أو داخل وحدات مؤسسية organizational units (OUs).

تستخدم المجموعات لتسهيل إدارة الشبكة ، و ذلك بالسماح للمدراء Administrators بمنح الحقوق و التراخيص لعدة مستخدمين دفعة واحدة بدلا من منحها لكل منهم على حدة.

الحقوق Rights ترخص للمستخدمين القيام بأعمال محددة مثل النسخ الاحتياطي للملفات أو تسجيل الدخول الى النظام و غير ذلك.

تكون الحقوق مرتبطة بالمستخدم user أو بحساب الكمبيوتر computer account.

أما التراخيص Permissions فتحدد نوع الوصول الممنوح للمستخدم أو المجموعة ليطبق على مكون ما أو على خصائص ذلك المكون.

فالتراخيص إذن تكون مرتبطة بالمكون object الذي ستطبق عليه.

التراخيص المرتبطة بمكون ما تعتمد على نوع المكون ، فعلى سبيل المثال فإن التراخيص المرتبطة بالملفات و المجلدات تختلف عن تلك المرتبطة بمكونات الدليل النشط.

كل تعيين للتراخيص لمستخدم أو مجموعة يطلق عليه access control entry (ACE).

بشكل عام فإنه من الأفضل تعيين و إدارة كلا من الحقوق و التراخيص من خلال استخدام المجموعات.

الحقوق و التراخيص المرتبطة بمجموعة ما يتم توريثها الى كل أعضاء المجموعة.

عليك إعطاء الحقوق للمستخدمين على الشبكة كي يتمكنوا من الوصول الى البيانات و الخدمات التي يحتاجونها للقيام بمهامهم، و تستخدم التراخيص لتحدد أي من المستخدمين لديه الحق في الوصول الى أي من موارد الشبكة و ماذا يستطيع أن يعمل بها، فعلى سبيل المثال تستطيع منح مجموعة ما ترخيص القراءة Read لملف بحيث يستطيع أعضاء المجموعة الإطلاع على الملف بدون التعديل عليه، و تستطيع أيضا منح مجموعة أخرى ترخيص الكتابة Write لنفس الملف بحيث يتمكن أعضاؤها من إجراء التغييرات عليه.

من الممكن للمجموعات أن تحتوي على مستخدمين ، كمبيوترات أو مجموعات أخرى.
تستطيع إضافة الكمبيوترات الى المجموعة لكي يتمكن أعضاء المجموعة من الوصول الى الموارد على تلك الكمبيوترات للقيام بمهام تتعلق بالنظام.

عندما تضيف مجموعة الى مجموعة أخرى فإن المجموعة المضافة ترث التراخيص الممنوحة للمجموعة المضافة إليها، يطلق على هذه العملية الاحتواء أو التداخل nesting.

بشكل عام ينصح أن لا يصل عمق التداخل في المجموعة الى أكثر من 3 مستويات ، لأنها بذلك تصبح معقدة و تصعب إدارتها و مراقبة التراخيص الممنوحة للمجموعات في المستويات المختلفة، لهذا يجب التخطيط جيدا قبل التفكير باستخدام التداخل، و يفضل توثيق جميع الصلاحيات الممنوحة للمجموعات و الاحتفاظ بهذه الوثائق و مراجعتها دوريا للخروج من حالة الإرباك التي قد تصيب مدير الشبكة عندما تكون كبيرة و معقدة.

يسمح لك ويندوز 2003 أن تنشئ نوعين أساسيين من المجموعات: مجموعات أمنية security groups و مجموعات توزيع distribution groups.

تستخدم المجموعات الأمنية لتعيين التراخيص للمكونات و الموارد، أما الكمبيوترات و المجموعات و حسابات المستخدمين فتتسلم الحقوق و التراخيص كأعضاء في المجموعة الأمنية.

أما مجموعات التوزيع فتستخدم لغير الأغراض الأمنية مثل إرسال رسائل البريد الإلكتروني لأعضاء المجموعة، و هذه المجموعات تعمل فقط مع البرامج المصممة للعمل مع الدليل النشط، و لا تستطيع تعيين الحقوق أو التراخيص.

كما تستطيع استخدام المجموعات الأمنية لأداء المهام غير الأمنية مثل مجموعات التوزيع، فمثلا بعض برامج البحث في الدليل النشط تستخدم المجموعات الأمنية لإرسال رسالة بريد إلكتروني الى مجموعة من المستخدمين دفعة واحدة.

من الممكن تحويل المجموعات الأمنية الى مجموعات توزيع و بالعكس.

لكل مجموعة أمنية مدى أو scope و هو الذي يحدد فيما إذا كان من الممكن إضافة أعضاء الى المجموعة من المجال الذي أنشأت فيه المجموعة أو من أي مجال، و يحدد أيضا فيما إذا كنت تستطيع منح أعضاء المجموعة تراخيص للموارد في مجالات أخرى في غابة المجالات forest.

من الممكن أن يكون للمجموعة واحد من scopes التالية:

1- global
2- domain local
3- universal.

أعضاء مجموعة Global group من الممكن اختيارهم فقط من المجال الرئيسي أو المجال الفرعي subdomain الذي أنشأت فيه المجموعة، و لكنك تستطيع منحهم الحق في الوصول الى الموارد في أي مجال في غابة المجالات (سنشرح مفهوم الغابة لاحقا إن شاء الله في الدرس القادم).

هذا النوع من المجموعات مفيد عند رغبتك بمنح المستخدمين تراخيص للوصول للموارد في مجالات أخرى.

فمثلا أي global group في المجال الفرعي sales.arabgates.com تستطيع أن تحتوي على أعضاء من المجال sales.arabgates.com فقط ، و لكنك تستطيع أن تمنح أعضاء هذه المجموعة تراخيص لاستخدام الموارد في جميع هذه المجالات مثلا و المجالات الشبيهة بها:

1- arabgates.com

2- sales.arabgates.com

3- marketing.arabgates.com

4- shipping.arabgates.com

كما تستطيع منح أي global group في أي مجال في غابة مجالات الوصول الى الموارد في أي مجال تابع للغابة ، فعلى سبيل المثال في غابة مجالات interswift.com تستطيع منح أي global group في مجال brocadero.com الوصول الى الموارد في مجال interswift.com و العكس صحيح.

أما مجموعات domain local فهي من الممكن أن تحتوي على أعضاء من أي مجال يشغل ويندوز NT أو ويندوز 2000 أو ويندوز 2003 سيرفر، كما من الممكن أن تحتوي على مجموعات من النوع global أو universal، كما تستطيع إضافة مجموعات domain local كأعضاء بشرط أن تكون من نفس المجال.

تستطيع منح مجموعات domain local الحق في الوصول الى الموارد في المجال المحلي فقط أي في المجال الذي أنشأت فيه المجموعة فقط.

افترض أنك أنشأت مجموعة domain local اسمها Printers في مجال sales.interswift.com و أنك أضفت إليها من المجالات الأخرى في الغابة جميع مجموعات global groups التي تحتاج الى تراخيص لاستخدام الطابعات في هذا المجال، تستطيع بعد ذلك أن تعين تراخيص استخدام الطابعات في مجال sales.interswift.com باستخدام مجموعة Printers.

غالبا ما يستخدم المدراء التداخل nesting في المجموعات ذات المدى domain local، و ذلك لسهولة مراقبة أي حقوق أو تراخيص ممنوحة في مدى domain local.

أما مجموعات Universal group فتستطيع أن تحتوي على أعضاء من أي مجال و تستطيع منحهم الحق في الوصول الى الموارد في أي مجال.

و يمكن تلخيص أسلوب و إمكانيات كل نوع من المجموعات فيما يخص العضوية و التداخل بالمخطط التالي:




تستطيع أن تستخدم مجموعات universal لمنح الأعضاء من مجالات مختلفة الحق في الوصول الى الموارد الموزعة على مجالات مختلفة، فمثلا المستخدمون من مجالات مختلفة قد يحتاجون الى الوصول الى المعلومات في كل من مجال sales.interswift.com و مجال marketing.interswift.com ، و لهذا الغرض تستطيع منح هؤلاء المستخدمين الحق في الوصول الى هذه المعلومات باستخدام مجموعة universal واحدة.


تسبب التغييرات المستمرة في عضوية مجموعات universal ازدحاما في حركة المرور على الشبكة نظرا للمعلومات التي يتم تناقلها بين المجالات حول التغييرات في العضوية، و لهذا السبب عليك أن تقلل قدر الإمكان من التغييرات في عضوية المجموعات ذات المستوى universal ، و بالتالي عليك استخدام نوع آخر إذا كنت تنوي إجراء تغييرات دورية في عضوية المجموعات.

بينما تستطيع تحويل مجموعات global و مجموعات domain local الى مجموعات universal فإن التغيير في مدى المجموعات ذات المدى universal غير ممكن.

كما لا تستطيع أن تغير المجموعات ذات المدى global الى مجموعات universal إذا كانت منتمية الى مجموعات أخرى ذات مدى global، و بشكل مشابه لا تستطيع تحويل مجموعة ذات مدى domain local الى مجموعة universal إذا كانت تحتوي على مجموعة local domain أخرى كعضو فيها.

الاستراتيجية المحبذة لاستخدام المجموعات ذات المدى global و domain local يطلق عليها account global domain local permissions (AGDLP) strategy ، و تتضمن القيام بما يلي:

وضع حسابات المستخدمين في مجموعة global و وضع مجموعات global في مجموعات domain local و من ثم منح التراخيص Permissions لمجموعات domain local لاستخدام الموارد على الشبكة.

عند الرغبة باستخدام استراتيجية AGDLP عليك أولا أن تحدد المستخدمين ذوي الاحتياجات أو المسئوليات المشتركة و من ثم تنشئ مجموعة global التي تحتوي على حسابات المستخدمين الذي حددتهم ، ثم تقوم بتحديد الموارد المطلوبة من قبل المستخدمين المذكورين و تنشئ مجموعة domain local تمنحها الحقوق للوصول للموارد التي حددتها و أخيرا تضيف إليها كأعضاء، مجموعة global التي أنشأتها و أي مجموعات أخرى ذات نفس المدى و تتطلب الوصول الى نفس الموارد، فعلى سبيل المثال إذا كان لديك مجموعة global هي Sales managers و قمت بإضافتها الى مجموعة domain local هي Sales Admin التي منحتها ترخيص باستخدام الطابعات مثلا فإن أعضاء مجموعة Sales manager سيتمتعون أيضا بنفس الترخيص.

قد يتساءل أحدكم ، لماذا لا نقوم بإضافة المستخدمين مباشرة الى المجموعة ذات المدى domain local بدلا من وضعهم أولا في مجموعة global التي بدورها نضعها في مجموعة domain local؟

للإجابة على هذا السؤال دعنا نفترض أنك قمت فعلا بإضافة المستخدمين مباشرة الى مجموعة domain local و لكن تبين فيما بعد أن بعض الأعضاء يحتاج الوصول الى موارد في مجال آخر و هذا غير ممكن بالنسبة لهذا النوع من المجموعات و بالتالي عليك حينها لحل هذه المشكلة أن تقوم بإضافة هؤلاء المستخدمين الى مجموعة أخرى في ذلك المجال أو إنشاء مجموعة global مستقلة تحتوي على هؤلاء المستخدمين و هذا الأمر سيزيد من طبقات التراخيص على الشبكة و بالتالي سيزيد من تعقيد الشبكة التي ستحتاج الى قدر أكبر من الإدارة و هذا يعتبر أمرا ليس عمليا أبدا ، لهذا لابد من إتباع الإستراتيجية المذكورة.

حسنا سيسأل ذكي سؤالا آخر فيقول: لماذا لا نقوم بإعطاء المجموعة ذات المدى global التراخيص مباشرة؟

نرد فنقول أن هذا الأمر سيزيد من تعقيد إدارة المصادر المختلفة، فعلى سبيل المثال إذا احتجت الى تغيير الترخيص لاستخدام مورد ما فإن عليك الولوج الى كافة مجموعات global التي تم منحها هذه التراخيص و تقوم بتغيير كل منها بشكل منفصل، كما عليك عند الرغبة بتعيين التراخيص للموارد المطلوبة من عدة مجموعات global ، أن تمنح كل مجموعة التراخيص بشكل منفصل و هذا أمر مرهق و سيكون أسهل كثيرا لو أضفت هذه المجموعات الى مجموعة domain local ثم منحتها التراخيص المطلوبة مرة واحدة فقط.

أما مجموعات universal فتستطيع استخدامها عندما تود أن تمنح المستخدمين الحق في الوصول الى موارد موزعة على أكثر من مجال في الشبكة، فعلى سبيل المثال إذا كنت تريد أن تمنح Sales managers الحق باستخدام جميع الطابعات على الشبكة ، عليك أن تنشئ مجموعة universal لجميع طابعات الشبكة ثم تضيف Sales managers الى هذه المجموعة، و لكن عليك أن تتأكد من أن عضوية مجموعة universal عليها أن تكون ثابتة و التعديل عليها يجب أن يكون محدودا قدر الإمكان للأسباب التي سبق شرحها.

عند استخدام مجموعات universal فإنها فكرة حسنة أن تنشئ مجموعات global للمستخدمين في جميع المجالات و الذين يجمعهم الحاجة للوصول الى موارد مشتركة ، ثم تضيف هذه المجموعات الى مجموعات universal و أخيرا تمنح مجموعة universal التراخيص المطلوبة ، و عند الرغبة بإجراء أي تغييرات في عضوية المستخدمين فإنك تغيرها من خصائص مجموعات global دون التأثير على مجموعة universal و بالتالي التخلص من المشاكل المرتبطة بها.

بهذا ننتهي من درس اليوم و نلتقي في الدرس المقبل ان شاء الله لمتابعة الحديث عن أدوات الدليل النشط.


الكاتب:وليد عودة