المجموعات هي مكونات
في الدليل النشط أو الكمبيوتر المحلي و تحتوي على غيرها من المكونات مثل
المستخدمين كأعضاء فيها.
من الممكن أن تكون
المجموعات في الدليل النشط موجودة داخل حاويات الدليل النشط Active Directory containers أو داخل مجال Domain أو داخل وحدات مؤسسية organizational units (OUs).
تستخدم المجموعات
لتسهيل إدارة الشبكة ، و ذلك بالسماح للمدراء Administrators بمنح الحقوق و التراخيص لعدة مستخدمين دفعة واحدة بدلا من منحها لكل
منهم على حدة.
الحقوق Rights ترخص للمستخدمين القيام بأعمال محددة مثل النسخ الاحتياطي للملفات
أو تسجيل الدخول الى النظام و غير ذلك.
تكون الحقوق مرتبطة
بالمستخدم user أو بحساب الكمبيوتر computer account.
أما التراخيص Permissions
فتحدد نوع الوصول الممنوح للمستخدم أو المجموعة ليطبق على مكون ما أو على خصائص
ذلك المكون.
فالتراخيص إذن تكون
مرتبطة بالمكون object الذي ستطبق عليه.
التراخيص المرتبطة
بمكون ما تعتمد على نوع المكون ، فعلى سبيل المثال فإن التراخيص المرتبطة بالملفات
و المجلدات تختلف عن تلك المرتبطة بمكونات الدليل النشط.
كل تعيين للتراخيص
لمستخدم أو مجموعة يطلق عليه access
control entry (ACE).
بشكل عام فإنه من
الأفضل تعيين و إدارة كلا من الحقوق و التراخيص من خلال استخدام المجموعات.
الحقوق و التراخيص
المرتبطة بمجموعة ما يتم توريثها الى كل أعضاء المجموعة.
عليك إعطاء الحقوق
للمستخدمين على الشبكة كي يتمكنوا من الوصول الى البيانات و الخدمات التي
يحتاجونها للقيام بمهامهم، و تستخدم التراخيص لتحدد أي من المستخدمين لديه الحق في
الوصول الى أي من موارد الشبكة و ماذا يستطيع أن يعمل بها، فعلى سبيل المثال تستطيع
منح مجموعة ما ترخيص القراءة Read لملف بحيث يستطيع أعضاء المجموعة الإطلاع
على الملف بدون التعديل عليه، و تستطيع أيضا منح مجموعة أخرى ترخيص الكتابة Write لنفس الملف بحيث يتمكن أعضاؤها من إجراء التغييرات عليه.
من الممكن للمجموعات
أن تحتوي على مستخدمين ، كمبيوترات أو مجموعات أخرى.
تستطيع إضافة
الكمبيوترات الى المجموعة لكي يتمكن أعضاء المجموعة من الوصول الى الموارد على تلك
الكمبيوترات للقيام بمهام تتعلق بالنظام.
عندما تضيف مجموعة
الى مجموعة أخرى فإن المجموعة المضافة ترث التراخيص الممنوحة للمجموعة المضافة إليها،
يطلق على هذه العملية الاحتواء أو التداخل nesting.
بشكل عام ينصح أن لا
يصل عمق التداخل في المجموعة الى أكثر من 3 مستويات ، لأنها بذلك تصبح معقدة و
تصعب إدارتها و مراقبة التراخيص الممنوحة للمجموعات في المستويات المختلفة، لهذا
يجب التخطيط جيدا قبل التفكير باستخدام التداخل، و يفضل توثيق جميع الصلاحيات
الممنوحة للمجموعات و الاحتفاظ بهذه الوثائق و مراجعتها دوريا للخروج من حالة
الإرباك التي قد تصيب مدير الشبكة عندما تكون كبيرة و معقدة.
يسمح لك ويندوز 2000
أن تنشئ نوعين أساسيين من المجموعات: مجموعات أمنية security groups و مجموعات توزيع distribution
groups.
تستخدم المجموعات
الأمنية لتعيين التراخيص للمكونات و الموارد، أما الكمبيوترات و المجموعات و حسابات المستخدمين فتتسلم الحقوق
و التراخيص كأعضاء في المجموعة الأمنية.
أما مجموعات التوزيع
فتستخدم لغير الأغراض الأمنية مثل إرسال رسائل البريد الإلكتروني لأعضاء المجموعة،
و هذه المجموعات تعمل فقط مع البرامج المصممة للعمل مع الدليل النشط، و لا تستطيع
تعيين الحقوق أو التراخيص.
كما تستطيع استخدام
المجموعات الأمنية لأداء المهام غير الأمنية مثل مجموعات التوزيع، فمثلا بعض برامج
البحث في الدليل النشط تستخدم المجموعات الأمنية لإرسال رسالة بريد إلكتروني الى
مجموعة من المستخدمين دفعة واحدة.
من الممكن تحويل
المجموعات الأمنية الى مجموعات توزيع و بالعكس و لكن بشرط أن يكون المجال الذي
تنتمي إليه هذه المجموعات يعمل في النمط الأصلي Native mode.
ملاحظة: يكون مجالك
في النمط الأصلي ، عندما تكون جميع متحكمات المجال domain controllers على الشبكة تشغل ويندوز 2000. تحتاج أن تبقي على مجالك في النمط
المختلط Mixed mode فقط إذا كان أحد متحكمات المجال يشغل ويندوز
NT، و لكن تذكر أن العمل في النمط المختلط يقلل من الخصائص المرتبطة
بالمجموعات و المتوفرة في المجال.
لكل مجموعة أمنية مدى
أو scope و هو الذي يحدد فيما إذا كان من الممكن إضافة أعضاء الى المجموعة
من المجال الذي أنشأت فيه المجموعة أو من أي مجال، و يحدد أيضا فيما إذا كنت
تستطيع منح أعضاء المجموعة تراخيص للموارد في مجالات أخرى في غابة المجالات forest.
من الممكن أن يكون
للمجموعة واحد من scopes التالية:
1- global
2- domain local
3- universal.
أعضاء مجموعة Global group
من الممكن اختيارهم فقط من المجال الرئيسي أو المجال الفرعي subdomain
الذي أنشأت فيه المجموعة، و لكنك تستطيع منحهم الحق في الوصول الى الموارد في أي
مجال في غابة المجالات.
هذا النوع من
المجموعات مفيد عند رغبتك بمنح المستخدمين تراخيص للوصول للموارد في مجالات أخرى.
فمثلا أي global group في المجال الفرعي sales.arabgates.com تستطيع أن تحتوي على أعضاء من المجال sales.arabgates.com فقط ، و لكنك تستطيع أن تمنح أعضاء هذه المجموعة تراخيص لاستخدام
الموارد في جميع هذه المجالات مثلا و المجالات الشبيهة بها:
1- arabgates.com
2- sales.arabgates.com
3- marketing.arabgates.com
4- shipping.arabgates.com
كما تستطيع منح أي global group في أي مجال في غابة مجالات الوصول الى الموارد في أي مجال تابع
للغابة ، فعلى سبيل المثال في غابة مجالات interswift.com
تستطيع منح أي global group في مجال brocadero.com الوصول الى الموارد في مجال interswift.com و العكس صحيح، كما في الصورة التالية:
أما مجموعات domain local فهي من الممكن أن تحتوي على أعضاء من أي مجال يشغل ويندوز NT
أو ويندوز 2000، كما من الممكن أن تحتوي على مجموعات من النوع global أو universal، كما تستطيع إضافة مجموعات domain local كأعضاء بشرط أن تكون من نفس المجال.
تستطيع منح مجموعات domain local الحق في الوصول الى الموارد في المجال المحلي فقط أي في المجال
الذي أنشأت فيه المجموعة فقط.
افترض أنك أنشأت
مجموعة domain local اسمها Printers
في مجال sales.interswift.com و أنك أضفت إليها من المجالات الأخرى في
الغابة جميع مجموعات global groups التي تحتاج الى تراخيص لاستخدام الطابعات في
هذا المجال، تستطيع بعد ذلك أن تعين تراخيص استخدام الطابعات في مجال sales.interswift.com باستخدام مجموعة Printers.
غالبا ما يستخدم
المدراء التداخل nesting في المجموعات ذات المدى domain local، و ذلك لسهولة مراقبة أي حقوق أو تراخيص ممنوحة في مدى domain local.
أما مجموعات Universal group فتستطيع أن تحتوي على أعضاء من أي مجال و تستطيع منحهم الحق في
الوصول الى الموارد في أي مجال، بشرط أن يتم إنشاءها في غابة أو شجرة مجالات تعمل
في النمط الأصلي Native mode.
تستطيع أن تستخدم
مجموعات universal لمنح الأعضاء من مجالات مختلفة الحق في
الوصول الى الموارد الموزعة على مجالات مختلفة، فمثلا المستخدمون من مجالات مختلفة
قد يحتاجون الى الوصول الى المعلومات في كل من مجال sales.interswift.com و مجال marketing.interswift.com ، و لهذا الغرض تستطيع منح هؤلاء المستخدمين
الحق في الوصول الى هذه المعلومات باستخدام مجموعة universal
واحدة.
يتم حفظ مجموعات universal في global catalog و تسبب التغييرات المستمرة في عضوية هذا النوع من المجموعات ازدحاما في حركة المرور
على الشبكة نظرا للمعلومات التي يتم تناقلها بين المجالات حول التغييرات في
العضوية، و لهذا السبب عليك أن تقلل قدر الإمكان من التغييرات في عضوية المجموعات
ذات المستوى universal ، و بالتالي عليك استخدام نوع آخر إذا كنت
تنوي إجراء تغييرات دورية في عضوية المجموعات.
بينما تستطيع تحويل
مجموعات global و مجموعات domain local
الى مجموعات universal فإن التغيير في مدى المجموعات ذات المدى universal غير ممكن.
كما لا تستطيع أن
تغير المجموعات ذات المدى global الى مجموعات universal
إذا كانت منتمية الى مجموعات أخرى ذات مدى global،
و بشكل مشابه لا تستطيع تحويل مجموعة ذات مدى domain local
الى مجموعة universal إذا كانت تحتوي على مجموعة local domain أخرى كعضو فيها.
بهذا ننتهي من درس
اليوم ، و نلتقي إن شاء الله مع الدرس القادم و الذي سيكون بعنوان
التخطيط لاستخدام المجموعات.
في الدليل النشط أو الكمبيوتر المحلي و تحتوي على غيرها من المكونات مثل
المستخدمين كأعضاء فيها.
من الممكن أن تكون
المجموعات في الدليل النشط موجودة داخل حاويات الدليل النشط Active Directory containers أو داخل مجال Domain أو داخل وحدات مؤسسية organizational units (OUs).
تستخدم المجموعات
لتسهيل إدارة الشبكة ، و ذلك بالسماح للمدراء Administrators بمنح الحقوق و التراخيص لعدة مستخدمين دفعة واحدة بدلا من منحها لكل
منهم على حدة.
الحقوق Rights ترخص للمستخدمين القيام بأعمال محددة مثل النسخ الاحتياطي للملفات
أو تسجيل الدخول الى النظام و غير ذلك.
تكون الحقوق مرتبطة
بالمستخدم user أو بحساب الكمبيوتر computer account.
أما التراخيص Permissions
فتحدد نوع الوصول الممنوح للمستخدم أو المجموعة ليطبق على مكون ما أو على خصائص
ذلك المكون.
فالتراخيص إذن تكون
مرتبطة بالمكون object الذي ستطبق عليه.
التراخيص المرتبطة
بمكون ما تعتمد على نوع المكون ، فعلى سبيل المثال فإن التراخيص المرتبطة بالملفات
و المجلدات تختلف عن تلك المرتبطة بمكونات الدليل النشط.
كل تعيين للتراخيص
لمستخدم أو مجموعة يطلق عليه access
control entry (ACE).
بشكل عام فإنه من
الأفضل تعيين و إدارة كلا من الحقوق و التراخيص من خلال استخدام المجموعات.
الحقوق و التراخيص
المرتبطة بمجموعة ما يتم توريثها الى كل أعضاء المجموعة.
عليك إعطاء الحقوق
للمستخدمين على الشبكة كي يتمكنوا من الوصول الى البيانات و الخدمات التي
يحتاجونها للقيام بمهامهم، و تستخدم التراخيص لتحدد أي من المستخدمين لديه الحق في
الوصول الى أي من موارد الشبكة و ماذا يستطيع أن يعمل بها، فعلى سبيل المثال تستطيع
منح مجموعة ما ترخيص القراءة Read لملف بحيث يستطيع أعضاء المجموعة الإطلاع
على الملف بدون التعديل عليه، و تستطيع أيضا منح مجموعة أخرى ترخيص الكتابة Write لنفس الملف بحيث يتمكن أعضاؤها من إجراء التغييرات عليه.
من الممكن للمجموعات
أن تحتوي على مستخدمين ، كمبيوترات أو مجموعات أخرى.
تستطيع إضافة
الكمبيوترات الى المجموعة لكي يتمكن أعضاء المجموعة من الوصول الى الموارد على تلك
الكمبيوترات للقيام بمهام تتعلق بالنظام.
عندما تضيف مجموعة
الى مجموعة أخرى فإن المجموعة المضافة ترث التراخيص الممنوحة للمجموعة المضافة إليها،
يطلق على هذه العملية الاحتواء أو التداخل nesting.
بشكل عام ينصح أن لا
يصل عمق التداخل في المجموعة الى أكثر من 3 مستويات ، لأنها بذلك تصبح معقدة و
تصعب إدارتها و مراقبة التراخيص الممنوحة للمجموعات في المستويات المختلفة، لهذا
يجب التخطيط جيدا قبل التفكير باستخدام التداخل، و يفضل توثيق جميع الصلاحيات
الممنوحة للمجموعات و الاحتفاظ بهذه الوثائق و مراجعتها دوريا للخروج من حالة
الإرباك التي قد تصيب مدير الشبكة عندما تكون كبيرة و معقدة.
يسمح لك ويندوز 2000
أن تنشئ نوعين أساسيين من المجموعات: مجموعات أمنية security groups و مجموعات توزيع distribution
groups.
تستخدم المجموعات
الأمنية لتعيين التراخيص للمكونات و الموارد، أما الكمبيوترات و المجموعات و حسابات المستخدمين فتتسلم الحقوق
و التراخيص كأعضاء في المجموعة الأمنية.
أما مجموعات التوزيع
فتستخدم لغير الأغراض الأمنية مثل إرسال رسائل البريد الإلكتروني لأعضاء المجموعة،
و هذه المجموعات تعمل فقط مع البرامج المصممة للعمل مع الدليل النشط، و لا تستطيع
تعيين الحقوق أو التراخيص.
كما تستطيع استخدام
المجموعات الأمنية لأداء المهام غير الأمنية مثل مجموعات التوزيع، فمثلا بعض برامج
البحث في الدليل النشط تستخدم المجموعات الأمنية لإرسال رسالة بريد إلكتروني الى
مجموعة من المستخدمين دفعة واحدة.
من الممكن تحويل
المجموعات الأمنية الى مجموعات توزيع و بالعكس و لكن بشرط أن يكون المجال الذي
تنتمي إليه هذه المجموعات يعمل في النمط الأصلي Native mode.
ملاحظة: يكون مجالك
في النمط الأصلي ، عندما تكون جميع متحكمات المجال domain controllers على الشبكة تشغل ويندوز 2000. تحتاج أن تبقي على مجالك في النمط
المختلط Mixed mode فقط إذا كان أحد متحكمات المجال يشغل ويندوز
NT، و لكن تذكر أن العمل في النمط المختلط يقلل من الخصائص المرتبطة
بالمجموعات و المتوفرة في المجال.
لكل مجموعة أمنية مدى
أو scope و هو الذي يحدد فيما إذا كان من الممكن إضافة أعضاء الى المجموعة
من المجال الذي أنشأت فيه المجموعة أو من أي مجال، و يحدد أيضا فيما إذا كنت
تستطيع منح أعضاء المجموعة تراخيص للموارد في مجالات أخرى في غابة المجالات forest.
من الممكن أن يكون
للمجموعة واحد من scopes التالية:
1- global
2- domain local
3- universal.
أعضاء مجموعة Global group
من الممكن اختيارهم فقط من المجال الرئيسي أو المجال الفرعي subdomain
الذي أنشأت فيه المجموعة، و لكنك تستطيع منحهم الحق في الوصول الى الموارد في أي
مجال في غابة المجالات.
هذا النوع من
المجموعات مفيد عند رغبتك بمنح المستخدمين تراخيص للوصول للموارد في مجالات أخرى.
فمثلا أي global group في المجال الفرعي sales.arabgates.com تستطيع أن تحتوي على أعضاء من المجال sales.arabgates.com فقط ، و لكنك تستطيع أن تمنح أعضاء هذه المجموعة تراخيص لاستخدام
الموارد في جميع هذه المجالات مثلا و المجالات الشبيهة بها:
1- arabgates.com
2- sales.arabgates.com
3- marketing.arabgates.com
4- shipping.arabgates.com
كما تستطيع منح أي global group في أي مجال في غابة مجالات الوصول الى الموارد في أي مجال تابع
للغابة ، فعلى سبيل المثال في غابة مجالات interswift.com
تستطيع منح أي global group في مجال brocadero.com الوصول الى الموارد في مجال interswift.com و العكس صحيح، كما في الصورة التالية:
أما مجموعات domain local فهي من الممكن أن تحتوي على أعضاء من أي مجال يشغل ويندوز NT
أو ويندوز 2000، كما من الممكن أن تحتوي على مجموعات من النوع global أو universal، كما تستطيع إضافة مجموعات domain local كأعضاء بشرط أن تكون من نفس المجال.
تستطيع منح مجموعات domain local الحق في الوصول الى الموارد في المجال المحلي فقط أي في المجال
الذي أنشأت فيه المجموعة فقط.
افترض أنك أنشأت
مجموعة domain local اسمها Printers
في مجال sales.interswift.com و أنك أضفت إليها من المجالات الأخرى في
الغابة جميع مجموعات global groups التي تحتاج الى تراخيص لاستخدام الطابعات في
هذا المجال، تستطيع بعد ذلك أن تعين تراخيص استخدام الطابعات في مجال sales.interswift.com باستخدام مجموعة Printers.
غالبا ما يستخدم
المدراء التداخل nesting في المجموعات ذات المدى domain local، و ذلك لسهولة مراقبة أي حقوق أو تراخيص ممنوحة في مدى domain local.
أما مجموعات Universal group فتستطيع أن تحتوي على أعضاء من أي مجال و تستطيع منحهم الحق في
الوصول الى الموارد في أي مجال، بشرط أن يتم إنشاءها في غابة أو شجرة مجالات تعمل
في النمط الأصلي Native mode.
تستطيع أن تستخدم
مجموعات universal لمنح الأعضاء من مجالات مختلفة الحق في
الوصول الى الموارد الموزعة على مجالات مختلفة، فمثلا المستخدمون من مجالات مختلفة
قد يحتاجون الى الوصول الى المعلومات في كل من مجال sales.interswift.com و مجال marketing.interswift.com ، و لهذا الغرض تستطيع منح هؤلاء المستخدمين
الحق في الوصول الى هذه المعلومات باستخدام مجموعة universal
واحدة.
يتم حفظ مجموعات universal في global catalog و تسبب التغييرات المستمرة في عضوية هذا النوع من المجموعات ازدحاما في حركة المرور
على الشبكة نظرا للمعلومات التي يتم تناقلها بين المجالات حول التغييرات في
العضوية، و لهذا السبب عليك أن تقلل قدر الإمكان من التغييرات في عضوية المجموعات
ذات المستوى universal ، و بالتالي عليك استخدام نوع آخر إذا كنت
تنوي إجراء تغييرات دورية في عضوية المجموعات.
بينما تستطيع تحويل
مجموعات global و مجموعات domain local
الى مجموعات universal فإن التغيير في مدى المجموعات ذات المدى universal غير ممكن.
كما لا تستطيع أن
تغير المجموعات ذات المدى global الى مجموعات universal
إذا كانت منتمية الى مجموعات أخرى ذات مدى global،
و بشكل مشابه لا تستطيع تحويل مجموعة ذات مدى domain local
الى مجموعة universal إذا كانت تحتوي على مجموعة local domain أخرى كعضو فيها.
بهذا ننتهي من درس
اليوم ، و نلتقي إن شاء الله مع الدرس القادم و الذي سيكون بعنوان
التخطيط لاستخدام المجموعات.