Active Directory Domain Services
1 ‫نظم تشغيل‬
‫المحتوى‬
‫‪LOGO‬‬
‫‪2‬‬
‫‪1‬‬
‫أنواع الشبكات‬
‫‪2‬‬
‫خدمة الدليل‬
‫‪3‬‬
‫‪Active Directory‬‬
‫‪4‬‬
‫‪SID , ACL‬‬
‫‪5‬‬
‫‪MMC‬‬
‫‪1‬‬
‫أنواع الشبكات‬
‫‪LOGO‬‬
‫شبكة خادم ‪ /‬عميل‬
‫‪Client/Server Network‬‬
‫‪Domain‬‬
‫شبكة ند للند‬
‫‪Peer to Peer Network‬‬
‫‪Workgroup‬‬
‫شبكة ند للند تتطلب اإلنضمام إلى مجموعة عمل ‪Workgroup‬‬
‫يصبح الجهاز يعمل كند على الشبكة‬
‫إدارة الكمبيوتر تكون محلية‬
‫‪3‬‬
‫أنواع الشبكات‬
‫‪LOGO‬‬
‫‪ ‬شبكة خادم ‪ /‬عميل تتطلب اإلنضمام إلى مجال ‪Domain‬‬
‫مثال ‪tvtc.gov.sa :‬‬
‫‪ ‬االنضمام إلى مجال يتطلب اسم مجال و حساب كمبيوتر و وحدة نحكم بالمجال‬
‫متاحة وخادم عليه خدمة ‪DNS‬‬
‫في هذه الحالة يصبح الجهاز يعمل كعميل على الشبكة‬
‫إدارة الكمبيوتر تكون مركزية على خادم الشبكة الموجود به حساب الكمبيوتر‬
‫‪ ‬الخادم هو الذي يدير كل الشبكة ‪ :‬المستخدمين ‪ ,‬أجهزة الكمبيوتر ‪,‬‬
‫الطابعات ‪ ,‬الملفات و المجلدات المشتركة‬
‫يتوفر في الخادم خدمة اسمها خدمة الدليل ”‪“Directory Service‬‬
‫تمكنه من إدارة كامل الشبكة‬
‫‪4‬‬
‫إضافة الكمبيوتر إلى مجال‬
On the Client Computer
LOGO
XP
5
‫‪LOGO‬‬
‫‪Directory Service‬‬
‫‪‬مركزية التحكم في جميع المستخدمين‬
‫وموارد الشبكة بالكامل‪.‬‬
‫‪‬القدرة على تنظيم المعلومات و على‬
‫تبسيط إدارة الشبكة من خالل توفير‬
‫واجهة موحدة إلدارة مهام النظام‪.‬‬
‫‪‬نشر الموارد المشتركة في الدليل‪،‬‬
‫بحيث يمكن للمستخدمين الوصول‬
‫إليها من دون معرفة على أي جهاز‬
‫تتواجد هذه الموارد‪.‬‬
Examples for Directory Service
LOGO
Network Information
Service (NIS).
Active Directory.
7
Windows server 2008 AD
LOGO
Windows server 2008 AD includes five
technologies:





AD Domain Services
AD Lightweight Directory Services
AD Certificate Services
AD Rights Management Services
AD Federation Services
8
‫‪LOGO‬‬
‫‪Active Directory‬‬
‫‪Active Directory :‬‬
‫هي خدمة الدليل المستخدمة لتخزين المعلومات عن موارد‬
‫الشبكة عبر المجال‪.‬‬
‫‪9‬‬
‫‪LOGO‬‬
‫‪Domain‬‬
‫‪Domain:‬‬
‫مجموعات من أجهزة الكمبيوتر‬
‫والمستخدمين‪ ،‬والموارد التي تشكل‬
‫الحدود اإلدارية‪.‬‬
‫‪Domain‬‬
‫‪10‬‬
‫المجال‬
Domain Controller
LOGO
Domain Controller:
Active ‫خادم يحمل نسخة من‬
Directory
‫وحدة تحكم بالمجال‬
11
Active Directory Terms
LOGO
What Are Domains?
What Are Trees?
What Are Forests?
What Are Organizational
Units?
What Are Trust
Relationships?
12
LOGO
Active Directory Terms
Domain Tree
Domain
Trust
Domain
Domain
Domain
Domain
Domain
OU
Objects
OU
OU
Domain
Organizational Unit
Forest
13
LOGO
Organizational Units
Domain
OU1
Users
OU1
User1
OU2
User2
OU2
Computers
Computer1
User1 User2
Printer2
Computer1
Printers
Printer1
‫الوحدات التنظيمية‬
14
Organizational Units
LOGO
Objects
 Users
 Computers
Organizational
Units
 Containers that can be used
to group objects within a
domain
15
‫‪LOGO‬‬
‫‪Windows 2008 Active Directory‬‬
‫‪ ‬يعتمد الهيكل المنطقي لل ‪Active Directory‬‬
‫على وحدات تسمى المجاالت‪Domains .‬‬
‫‪ ‬مع ويندوز ‪ 2000‬يمكن للشبكات أن يكون لديهم‬
‫مجاالت متعددة‪ ،‬تنظم في شكل أشجار‪Trees .‬‬
‫‪ ‬يمكن ان تنضم إلى هذه األشجار أشجار أخرى‬
‫لتشكيل الغابات‪Forests .‬‬
‫الوحدات‬
‫‪Active Director‬‬
‫‪ ‬يستخدم‬
‫التنظيمية ‪Organizational‬‬
‫‪Units‬لتنظيم الموارد داخل‬
‫)‪(OUs‬‬
‫المجاالت‪domains .‬‬
‫‪.‬‬
‫‪LOGO‬‬
‫‪Windows 2008 Active Directory‬‬
‫‪ ‬الستخدام خدمة ‪ ،Active Directory‬يجب‬
‫تكوين ملقم واحد على األقل كوحدة تحكم‬
‫بالمجال )‪Domain Controller (DC‬‬
‫‪ ‬فمن المستحسن أن يكون هناك ‪ DCs‬اثنين‬
‫على األقل في كل مجال‪ ،‬للتسامح مع الخطأ‪.‬‬
‫‪fault tolerance‬‬
‫‪ ‬كل كائن ‪ object‬في ‪Active Directory‬‬
‫لديه قائمة التحكم بالوصول (‪ )ACL‬الذي‬
‫يحتوي على كافة أذونات الوصول‬
‫‪ permissions‬المرتبطة بذلك الكائن‪.‬‬
‫‪‬‬
‫‪17‬‬
‫‪LOGO‬‬
‫‪SID, ACL‬‬
‫كيف يمكن معرفة من هم المستخدمون الذين يمكنهم الوصول إلى مورد مأ؟‬
‫‪18‬‬
‫‪LOGO‬‬
‫‪SID, ACL‬‬
‫عند الدخول إلى جهاز محلي يتم إدخال االسم و كلمة المرور‪ .‬هذه المعلومات يتم مقارنتها مع قاعدة‬
‫بيانات حسابات األمن المحلية في الجهاز‪ ،‬أما إذا كان الولوج إلى مجال ‪Domain‬فإن المعلومات‬
‫يتم مقارنتها مع قاعدة بيانات حسابات المجال‪ ،‬فإذا كان اسم المستخدم أو كلمة المرور غير‬
‫صالحين فإن المستخدم يمنع من الدخول إلى النظام‪ ،‬أما إذا كانا صحيحين فإن النظام يقوم بإصدار‬
‫بطاقة ولوج أو الرمز المميز للوصول ‪ Access Token‬تعرف النظام بالمستخدم و تحتوي هذه‬
‫البطاقة على المعلومات التالية‪:‬‬
‫‪ -1‬المعرف األمني أو هوية األمان )‪ Security Identifier (SID‬و هو رقم‬
‫فريد خاص بكل حساب‪.‬‬
‫‪ -2‬معرفات المجموعات ‪ Group SIDs‬و هي التي تحدد المجموعات التي ينتمي‬
‫لها المستخدم‪.‬‬
‫‪ -3‬االمتيازات ‪ Privileges‬و هي تمثل الحقوق الممنوحة لحسابك‪.‬‬
‫و االمتيازات ممكن منحها لمستخدم أو مجموعة من المستخدمين و هذا أٍسهل‪.‬‬
‫‪19‬‬
SID, ACL
LOGO
20
SID, ACL
LOGO
21
LOGO
SID, ACL
SID
Privileges
00820-1013 Read
00820-1014 write
Access Control List
ACL
00820-1015 Modify
Security Identifier
SID
Group
Privileges ‫امتيازات‬
‫ هو رقم ضخم بالتالي مضمون أنه سيكون فريدا‬SID. 
 Ex: S-1-5-12-7623811015-3361044348-030300820-1013
22
ACL
LOGO
23
Authentication and Authorization
A user presents credentials that
are authenticated by using the
information stored with the
user’s
identity
The system creates a security
token that represents the user
with the user’s SID and all
related group SIDs
A resources is secured with an
ACL: Permissions that pair a
SID with a level of access
The user’s security token is
compared with the ACL of the
resource to authorize a
requested level of access
LOGO
24
Authentication
LOGO
Authentication is the process that verifies a user’s identity
Credentials: At least two components required
• User name
• Secret, for example, password
Two types of authentication
• Local (interactive) Logon–
authentication for logon to the
local computer
• Remote (network) Logon–
authentication for access to
resources on another computer
25
Access Tokens
LOGO
User’s Access Token
User SID
Member Group SIDs
Privileges
)“user rights”(
Other access
information
26
ACLs and ACEs
LOGO
Security Descriptor
SACL
DACL or “ACL”
ACE
Trustee (SID)
Access Mask
ACE
Trustee (SID)
Access Mask
27
LOGO
Authorization
Authorization is the process that determines whether to grant or deny a user a
requested level of access to a resource
Three components required for authorization
• Resource
User’s Access Token
User SID
Group SID
• Access Request
System finds first ACE in
the ACL that allows or
denies the requested
access level for any SID in
the user’s token
• Security Token
Security Descriptor
SACL
DACL or “ACL”
List of user rights
ACE
Trustee (SID)
Access Mask
Other access
information
ACE
Trustee (SID)
Access Mask
28
Workgroup Authentication




LOGO
The identity store is a database on the Windows system
No shared identity store
Multiple user accounts
Management of passwords is challenging
29
Client/server Authentication
LOGO
 Centralized identity store
trusted by all domain members
 Centralized authentication
service
 Hosted by a server performing
the role of an AD DS domain
controller
30
MMC
LOGO
Microsoft Management Console ‫وحدة التحكم باإلدارة‬
‫ التي‬، snap-ins ‫ تدعى‬،‫ تستضيف أدوات‬MMC
‫تؤدي وظائف إدارية‬
Snap-ins
‫األدوات اإلضافية‬
Preconfigured Console
MMC
Custom MMC
LOGO
‫ مخصص‬MMC ‫كيفية إنشاء‬
LOGO
To create an custom MMC
type MMC in the Run
dialog box.
From the File Menu choose
Add/Remove Snap-in…
33
Snap-ins
LOGO
Active Directory Administration Tools:




Active Directory Users and Computers
Active Directory Sites and Services
Active Directory Domains and Trusts
Active Directory Schema
34
‫‪www.themegallery.com‬‬
‫المدربة نجالء العرفاوي‬