إدارة مسؤولي عمليات AD DS

مكتمل

يستخدم AD DS عملية متعددة المسؤولين لنسخ البيانات بين وحدات التحكم بالمجال، وينفذ تلقائيًا خوارزمية لحل التعارض تعالج التحديثات المتزامنة والمتعارضة. تسمح هذه العناصر بنموذج إدارة موزع، حيث يمكن للعديد من المستخدمين والتطبيقات تطبيق التغييرات بشكل متزامن على كائنات AD DS الموجودة على وحدات التحكم بالمجال المختلفة. هذا النموذج ضروري لدعم أية بيئة AD DS بوحدتي تحكم بالمجال أو أكثر. ومع ذلك، فهو ضروري بشكل خاص للبيئات الموزعة الأكبر مثل بيئة شركة Contoso. ومن المهم تذكر أنه لا يمكن إجراء عمليات معينة إلا من خلال دور محدد، على وحدة تحكم معينة بالمجال.

من هم مسؤولو عمليات AD DS؟

تكون أدوار مسؤولي عمليات AD DS مسؤولة عن تنفيذ العمليات غير المناسبة لنموذج متعدد المسؤولين. تعد وحدة التحكم بالمجال التي تحتوي على أحد هذه الأدوار مسؤول عمليات. يُعرف أيضًا دور مسؤول العمليات بدور ⁧⁩«عملية مرنة أحادية المسؤول» (FSMO).⁧⁩ هناك خمسة أدوار لمسؤولي العمليات:

  • المخطط الرئيسي
  • مسؤول تسمية المجالات
  • المسؤول عن البنية الأساسية
  • مسؤول المعرف النسبي (RID)
  • مسؤول محاكي PDC

بشكل افتراضي، تستضيف وحدة التحكم الأولى بالمجال المثبتة في غابة ما الأدوار الخمسة كافةً. ومع ذلك، يمكنك نقل هذه الأدوار بعد توزيع وحدات التحكم الإضافية بالمجال. عند إجراء تغييرات خاصة بمسؤول العمليات، يجب عليك الاتصال بوحدة التحكم بالمجال باستخدام الدور. تشتمل أدوار مسؤولي العمليات الخمسة على التوزيع التالي:

  • كل غابة لها مخطط رئيسي واحد ومسؤول تسمية مجالات واحد.
  • يحتوي كل مجال DS AD على مسؤول معرف نسبي (RID) واحد، ومسؤول واحد عن البنية الأساسية، ومحاكٍ واحد لوحدة التحكم بالمجال الأساسية (PDC).

يمكنك وضع جميع الأدوار الخمسة في وحدة تحكم واحدة بالمجال، أو توزيعها عبر عدة وحدات تحكم بالمجال.

رؤساء عمليات الغابة

تشمل الغابة أدوار رؤساء العمليات التالية:

  • مسؤول تسمية المجالات. عبارة عن وحدة تحكم بالمجال يجب الاتصال بها عند إضافة أو إزالة مجال أو إجراء تغييرات على اسم المجال.

هام

إذا لم يتوفر مسؤول تسمية المجالات، فلن تتمكن من إضافة مجالات إلى الغابة.

  • المخطط الرئيسي. عبارة عن وحدة التحكم بالمجال التي تقوم فيها بإجراء كل تغييرات المخطط.

هام

إذا لم يكن المخطط الرئيسي متوفرًا، فلن تتمكن من إجراء تغييرات على المخطط.

ملاحظة

يعرض الأمر Windows PowerShell ⁧Get-ADForest⁩، من وحدة Active Directory النمطية لـ Windows PowerShell، خصائص الغابة، بما في ذلك مسؤول تسمية المجالات والمخطط الرئيسي الحاليان.

مسؤول عمليات المجال

يحتوي المجال على أدوار مسؤولي العمليات التالية:

  • مسؤول المعرف النسبي (RID). عندما تقوم بإنشاء حساب أمان أساسي مثل: مستخدم أو كمبيوتر أو مجموعة في AD DS، تقوم وحدة التحكم بالمجال التي قمت بإنشاء الكائن فيها بتعيين رقم تعريف فريد يعرف باسم ⁧⁩معرف الأمان (SID).⁧⁩ للتأكد من عدم قيام وحدتي تحكم بالمجال بتعيين نفس معرف الأمان لكائنين مختلفين، يخصص مسؤول المعرف النسبي ( RID) كتل المعرف النسبي (RID) لكل وحدة تحكم بالمجال داخل المجال؛ لاستخدامها عند إنشاء معرفات الأمان.

هام

إذا كان مسؤول المعرف النسبي (RID) غير متوفر، فقد تواجه صعوبات في إضافة حسابات أمان أساسية إلى المجال. أيضًا، نظرًا لأن وحدات التحكم بالمجال تستخدم المعرفات النسبية الموجودة الخاصة بها، فإنها تنفد منها في النهاية، وتكون غير قادرة على إنشاء كائنات جديدة.

  • المسؤول عن البنية الأساسية. يحتفظ هذا الدور بمراجع الكائنات بين المجالات، ومن مثل ذلك عندما يكون لمجموعة في مجال ما عضو من مجال آخر. في هذه الحالة، يدير المسؤول عن البنية الأساسية عملية الحفاظ على تكامل هذا المرجع. على سبيل المثال، عند مراجعة علامة التبويب ⁧⁩Security⁧⁩ الخاصة بكائن ما، يشير النظام إلى معرفات الأمان المدرجة، ويترجمها إلى أسماء. في غابة متعددة المجالات، يقوم المسؤول عن البنية الأساسية بتحديث المراجع إلى معرفات الأمان من مجالات أخرى بأسماء حسابات الأمان الأساسية المقابلة.

هام

إذا كان المسؤول عن البنية الأساسية غير متوفر، فلن تتمكن وحدات التحكم بالمجال التي لا تمثل كتالوجات عمومية من تنفيذ ترجمة أسماء حسابات الأمان الأساسية لمعرفات الأمان.

هام

يجب ألا يتواجد دور المسؤول عن البنية الأساسية على وحدة التحكم بالمجال التي تستضيف دور الكتالوج العمومي، إلا إذا تم تكوين كل وحدة تحكم بالمجال في الغابة لتعمل ككتالوج عمومي. في هذه الحالة، يكون دور المسؤول عن البنية الأساسية غير ضروري؛ لأن كل وحدة تحكم بالمجال تعرف كل كائن في الغابة.

  • مسؤول محاكي PDC. تعمل وحدة التحكم بالمجال التي تمثل مسؤول محاكي PDC كمصدر وقت للمجال. يقوم مسؤول محاكي PDC في كل مجال في غابة ما بمزامنة وقته مع مسؤول محاكي PDC في المجال الجذر للغابة. يمكنك تعيين مسؤول محاكي PDC في مجال الجذر للغابة للمزامنة مع مصدر وقت خارجي موثوق. بالإضافة إلى ذلك، بشكل افتراضي، يتم كتابة التغييرات إلى كائنات نهج المجموعة (GPOs) بشكل افتراضي إلى مسؤول محاكي PDC.

    مسؤول محاكي PDC هو أيضًا وحدة تحكم بالمجال تتلقى تغييرات كلمات المرور العاجلة. إذا تغيرت كلمة مرور مستخدم ما، تتلقى وحدة التحكم بالمجال التي تتضمن دور مسؤول محاكي PDC هذه المعلومات على الفور. هذا يعني أنه إذا حاول المستخدم تسجيل الدخول، فستتصل وحدة التحكم بالمجال في الموقع الحالي للمستخدم بوحدة التحكم بالمجال التي تتضمن دور مسؤول محاكي PDC؛ للتحقق من التغييرات الأخيرة. سيحدث هذا حتى إذا قامت وحدة تحكم بالمجال في موقع مختلف بمصادقة المستخدم، ولم تكن وحدة التحكم تلك قد تلقت بعد معلومات كلمة المرور الجديدة.

هام

إذا لم يتوفر مسؤول محاكي PDC، فقد يواجه المستخدمون مشكلة في تسجيل الدخول حتى يتم نسخ تغييرات كلمة المرور الخاصة بهم إلى جميع وحدات التحكم بالمجال.

ملاحظة

يعرض الأمر Windows PowerShell ⁧Get-ADDomain⁩ من وحدة Active Directory النمطية لـ Windows PowerShell، خصائص المجال، بما في ذلك مسؤول المعرف النسبي والمسؤول عن البنية الأساسية، ومسؤول محاكي PDC.

إدارة مسؤولي عمليات AD DS

في بيئة AD DS حيث تقوم بتوزيع أدوار مسؤولي العمليات بين وحدات التحكم بالمجال، قد تحتاج إلى نقل دور من وحدة تحكم بالمجال إلى أخرى. عندما تقوم بتنفيذ عملية نقل بطريقة مخططة بين اثنتين من وحدات التحكم بالمجال عبر الإنترنت، تُعرف عملية النقل هذه ⁧⁩بنقل الدور⁧⁩. في حالات الطوارئ، إذا لم يكن صاحب الدور الحالي متوفرًا، فإن عملية النقل هذه تعرف باسم ⁧⁩الاستحواذ على الدور.⁧⁩ عند نقل دور، يتم نسخ أحدث البيانات من وحدة التحكم بالمجال في هذا الدور إلى الملقم الهدف.

هام

يجب عليك أن تستحوذ على الدور فقط كحل أخير عندما لا تكون هناك فرصة لاستعادة صاحب الدور الحالي.

نقل أدوار مسؤولي العمليات

يمكنك نقل أدوار مسؤولي العمليات باستخدام أدوات AD DS الإضافية التي يسردها الجدول التالي.

| الدور| الأداة الإضافية| || --| | المخطط الرئيسي| مخطط Active Directory| | مسؤول تسمية المجالات| مجالات وعلاقات ثقة Active Directory| | المسؤول عن البنية الأساسية| مستخدمو وأجهزة كمبيوتر Active Directory| | مسؤول المعرف النسبي (RID)| مستخدمو وأجهزة كمبيوتر Active Directory| | مسؤول محاكي PDC| مستخدمو وأجهزة كمبيوتر Active Directory|

الاستحواذ على أدوار مسؤولي العمليات

لا يمكنك استخدام أدوات AD DS الإضافية؛ للاستحواذ على أدوار مسؤولي العمليات. بدلاً من ذلك، يجب استخدام أداة سطر الأوامر ⁧⁩ntdsutil.exe⁧⁩ أو Windows PowerShell للاستحواذ على الأدوار.

ملاحظة

يمكنك أيضًا استخدام هذه الأدوات لنقل الأدوار.

تتماثل صيغتا نقل دور والاستحواذ على دور داخل Windows PowerShell، كما يوضح سطر الصيغة التالي:

Move-ADDirectoryServerOperationsMasterRole -Identity "<servername>" -OperationsMasterRole "<rolenamelist>" -Force

للحصول على الصيغة السابقة، فإن التعريفات التالية جديرة بالملاحظة:

  • ⁩servername⁧⁩. اسم وحدة التحكم بالمجال المستهدفة التي تقوم بنقل دور واحد أو أكثر إليها.
  • ⁩rolenamelist⁧⁩. قائمة بأسماء أدوار AD DS مفصولة بفاصلات التي سيتم نقلها إلى الملقم الهدف.
  • ⁩-Force⁧⁩. معلمة اختيارية تقوم بتضمينها للاستحواذ على دور بدلاً من نقله.

عرض توضيحي

يوضح الفيديو التالي كيفية:

  • تحديد موضع أدوار مسؤولي العمليات.
  • نقل أدوار مسؤولي العمليات بين وحدات التحكم بالمجال.

وتتمثل الخطوات الرئيسية في هذه العملية فيما يلي:

  1. إنشاء بيئة AD DS. إنشاء غابة AD DS ذات مجال واحد تحتوي على وحدتي تحكم بالمجال.
  2. التحقق من موضع أدوار مسؤولي العمليات. تحديد أي من وحدتي التحكم بالمجال تستضيف أدوار مسؤولي العمليات.
  3. نقل أدوار مسؤولي العمليات بين وحدات التحكم بالمجال باستخدام أدوات واجهة المستخدم الرسومية. استخدام أدوات واجهة المستخدم الرسومية لنقل أدوار مسؤولي العمليات من وحدة التحكم بالمجال التي حددتها في الخطوة السابقة إلى وحدة التحكم الأخرى.
  4. نقل أدوار مسؤولي العمليات بين وحدات التحكم بالمجال باستخدام أدوات سطر الأوامر. استخدام أدوات سطر الأوامر لنقل أدوار مسؤولي العمليات إلى وحدة التحكم الأولى بالمجال.

مراجعة سريعة

1.

ما هي الأداة التي تسمح بنقل دور مسؤول عمليات المسؤول عن البنية الأساسية؟