كيفية إدارة المستخدمين والمجموعات في Active Directory: دليل كامل

آخر تحديث: 15/04/2025
نبذة عن الكاتب: إسحاق
  • يتيح لك Active Directory إدارة المستخدمين والمجموعات وأجهزة الكمبيوتر بشكل مركزي
  • هناك أنواع ونطاقات مختلفة من المجموعات لأغراض محددة
  • يمكن إدارة الحسابات من واجهة المستخدم الرسومية، سطر الأوامر o بوويرشيل
  • الاستخدام الصحيح للوحدة التنظيمية والتفويض يحسن التنظيم والأمان

إدارة المستخدمين والمجموعات في Active Directory

الدليل النشط (AD) إنها إحدى الأدوات الأساسية لإدارة بيئات العمل في الأنظمة ويندوز. تتيح هذه الخدمة التحكم المركزي بالمستخدمين والمجموعات وأجهزة الكمبيوتر وموارد الشبكة الأخرى.

فهم كيفية إدارة المستخدمين والمجموعات في AD فهو ضروري لأي مسؤول نظام. من المهام الأساسية مثل إنشاء حسابات المستخدم إلى التكوين المتقدم باستخدام PowerShell أو سطر الأوامر، يغطي هذا الدليل كل ما تحتاج إلى معرفته لإدارة آمنة وفعالة.

الهيكل التنظيمي في Active Directory

قبل أن تبدأ في التعامل مع المستخدمين أو المجموعات، تحتاج إلى إنشاء هيكل الوحدة التنظيمية (OU). تعمل هذه الوحدات كحاويات منطقية تساعد في تنظيم وإدارة كائنات المجال، مثل حسابات المستخدمين أو أجهزة الكمبيوتر أو المجموعات، بطريقة هرمية.

تعكس وحدات التنظيم التنظيم الحقيقي للشركة، سواء حسب القسم أو الموقع الجغرافي أو الوظائف المحددة. بفضلها، يمكن أيضًا تطبيق سياسات جماعية أكثر تحديدًا. وبالإضافة إلى ذلك، فمن الممكن إدارة المندوب من وحدة تنظيمية إلى مستخدم أو مجموعة، بحيث يتمكن بعض المسؤولين فقط من إدارة تلك المجموعة الفرعية من الموارد. لمزيد من المعلومات حول إدارة GPO، يمكنك استشارة كيفية إدارة GPOs في PowerShell.

أنواع ونطاقات المجموعات في Active Directory

يوجد في AD عدة أنواع من المجموعات وتعريفات النطاق التي تحدد كيفية استخدامها:

  • المجموعات العالمية: تُستخدم عادةً لتجميع المستخدمين الذين يؤدون وظيفة مماثلة داخل مؤسسة (مثل قسم).
  • مجموعات المجال المحلية: يتم استخدامها لتعيين الأذونات للموارد داخل المجال.
  • المجموعات العالمية: يمكنهم تجميع المستخدمين والمجموعات من أي مجال داخل الغابة، وهو أمر مثالي للبيئات متعددة وحدات التحكم أو الغابات.

وبصرف النظر عن النطاق، يجب علينا أيضًا التمييز بين:

  • مجموعات الأمان: إنها تسمح لك بتعيين أذونات للموارد وتحتوي على SID (معرف الأمان).
  • مجموعات التوزيع: إنها لا تحتوي على معرفات أمان (SIDs) وهي موجهة نحو توزيع البريد الإلكتروني، عادةً في بيئات Exchange.
  تشخيص مشاكل التمهيد باستخدام bcdedit وbootrec وreagentc

إنشاء وإدارة حسابات المستخدمين

دليل Windows النشط

تعتبر إدارة حسابات المستخدم واحدة من المهام الأكثر شيوعًا وأهمية في AD. يمكن القيام بذلك من خلال أدوات رسومية مثل مستخدمو وأجهزة الكمبيوتر في Active Directory (ADUC) أو مركز إدارة الإعلانات (ADAC)، وكذلك عبر سطر الأوامر أو PowerShell. للتعمق في تثبيت هذه الأدوات، يمكنك اتباع ما يلي هذا الدليل حول تثبيت مستخدمي Active Directory وأجهزة الكمبيوتر على نظام التشغيل Windows 10.

لإنشاء حساب مستخدم من الواجهة الرسومية:

  1. افتح أداة ADUC.
  2. حدد UO المناسب.
  3. انقر بزر الماوس الأيمن > جديد > مستخدم.
  4. قم بإكمال الحقول المطلوبة مثل الاسم وكلمة المرور وإعدادات الحساب.

يمكن أيضًا تعيين القيود تسجيل الدخول، وتحديد الأوقات المسموح بها، وأجهزة الكمبيوتر المحددة التي يمكنك تسجيل الدخول إليها، وحتى إعداد ملفات تعريف الهاتف المحمول.

وظيفة مفيدة هي القدرة على نسخ حساب موجود، مما يسرع إنشاء حسابات متعددة بإعدادات مماثلة (أعضاء المجموعة، والسياسات، والجداول الزمنية، وما إلى ذلك).

تعديل حسابات المستخدم

يعد تعديل الحساب الحالي أمرًا سهلاً من خلال الواجهة الرسومية:

  • تغيير الاسم أو كلمة المرور.
  • تعيين مجموعات أو إزالتها.
  • تعيين الأذونات الخاصة.
  • تفعيل أو إلغاء تفعيل الحسابات حسب الحاجة.

من سطر الأوامر، يمكنك استخدام أدوات مثل دي إس مود لتغيير كلمات المرور، قم بفرض التغيير عند تسجيل الدخول التالي (dsmod user <user_dn> -mustchpwd yes) أو إلغاء تنشيط الحساب مؤقتًا. لمزيد من التفاصيل حول كيفية إدارة الأقراص والكائنات الأخرى من سطر الأوامر، راجع هذا الدليل الكامل حول إدارة الأقراص في CMD.

لحذف حساب، يمكنك استخدام dsrm <user_dn>من المهم أن تعلم أنه عند حذف حساب، يتم فقدان الأذونات المرتبطة به، حيث أن المستخدم الجديد، حتى لو كان له نفس الاسم، سيكون لديه معرف SID مختلف.

ضم أجهزة الكمبيوتر إلى المجال

لكي يكون الكمبيوتر جزءًا من مجال، يجب عليه:

  1. قم بتكوين محول الشبكة لاستخدام DNS الخاص بوحدة التحكم بالمجال.
  2. إنشاء اتصال بخادم DNS الخاص بالنطاق.
  3. التحقق من الاتصال عن طريق إرسال أمر ping إلى FQDN الخاص بوحدة التحكم.
  كيفية تحويل ملفات HEIC إلى JPG: دليل كامل ومحدث

بمجرد الانتهاء من ذلك، انتقل ببساطة إلى تكوين النظام (Win + Pause)، وقم بتغيير خصائص اسم الكمبيوتر وإدراجه في المجال. سيطلب منا بيانات اعتماد حساب لديه الأذونات، عادةً مسؤول المجال.

إدارة حسابات الكمبيوتر في AD

تُعد أجهزة الكمبيوتر أيضًا كائنات داخل AD ويمكن إنشاؤها يدويًا أو تلقائيًا عند ضم جهاز كمبيوتر إلى المجال. كما هو الحال مع حسابات المستخدم، يمكن إضافتها إلى المجموعات.

من سطر الأوامر يمكنك استخدام:

  • dsadd computer <computer_dn> لإضافة فريق.
  • dsmod computer <computer_dn> -disabled yes/no لتمكين أو تعطيل.
  • dsmod computer <computer_dn> -reset لإعادة تعيين حساب الكمبيوتر.

إنشاء المجموعات وإدارتها

تعتبر المجموعات ضرورية لإدارة الأذونات والسياسات. إن إنشائها بشكل صحيح يحسن الأمان ويقلل التعقيد.

من ADUC أو ADAC، يكون الإنشاء بسيطًا: اختر الاسم والنطاق (عالمي أو محلي أو عالمي) والنوع (أمان أو توزيع). لمزيد من التفاصيل حول كيفية دمج مجموعات الأمان والتوزيع، يمكنك القراءة السبب وراء عدم تضمين المجموعات المحلية في Windows 10.

أدوات مثل dsadd group, dsmod group و PowerShell مع New-ADGroup السماح بأتمتة هذه المهام في بيئات أكبر.

بمجرد إنشائه، يمكنك:

  • إضافة أو إزالة الأعضاء: المستخدمين أو أجهزة الكمبيوتر أو حتى المجموعات الأخرى.
  • تعديل نوعه أو نطاقه، على الرغم من وجود قيود في المجالات المختلطة.
  • تعيين الأذونات للموارد المشتركة وسياسات GPO وما إلى ذلك.

إدارة عضويات المجموعة

من علامة التبويب عضو في يمكنك رؤية كافة المجموعات التي ينتمي إليها المستخدم. يعد هذا الخيار مفيدًا للتحقق من الوصول أو التحقق منه.

كما يمكنك من المجموعة الذهاب إلى القسم الأعضاء وإضافة مستخدمين أو فرق أو مجموعات فرعية متعددة باستخدام الزر الأيمن والخيار المقابل. على سبيل المثال، يمكنك استخدام dsmod group -addmbr لإضافة الأعضاء بشكل جماعي.

بكميات كبيرة، PowerShell والأوامر مثل dsmod group -addmbr يسمح لك بإضافة أعضاء متعددين تلقائيًا.

إدارة كائنات متعددة في وقت واحد

في ADUC، يمكنك تحديد مستخدمين متعددين وتطبيق التغييرات المشتركة على جميع العناصر (على سبيل المثال، تغيير الوصف أو إضافتها إلى مجموعة). يؤدي هذا إلى تقليل أوقات إنشاء المستخدم وصيانته في الشركات التي لديها معدل دوران مرتفع أو توظيف موسمي.

  أساسيات تطوير Visual Studio: دليل شامل للبرنامج المجاني

استخدام سطر الأوامر وPowerShell

بالنسبة للمسؤولين المتقدمين أو في البيئات التي تحتوي على مئات الكائنات، تعد أدوات PowerShell وسطر الأوامر ضرورية. تتضمن بعض الإجراءات الشائعة ما يلي:

  • dsquery:البحث عن الكائنات (المستخدمين، المجموعات، أجهزة الكمبيوتر، وحدات التنظيم، وما إلى ذلك).
  • dsadd:إنشاء الكائنات.
  • dsmod:تعديل الكائنات الموجودة.
  • dsrm:حذف الكائنات من AD.

من جانبه، يقدم PowerShell أدوات cmdlet مثل:

  • New-ADUser, Set-ADUser, Remove-ADUser
  • Get-ADGroupMember, Add-ADGroupMember

إحدى مزايا PowerShell هي أنه يسمح لك بتسجيل البرامج النصية القابلة لإعادة الاستخدام وعرض سجل الأوامر عند استخدام وحدة التحكم ADAC. كما يسمح الإدارة عن بعد استخدام RSAT من جهاز كمبيوتر العميل دون الحاجة إلى الوصول مباشرة إلى وحدة التحكم بالمجال.

الممارسات الجيدة والتوصيات

عند إدارة المستخدمين والمجموعات في AD، يوصى بما يلي:

  • لا تقم بإنشاء مجموعات أكثر من اللازملتجنب التحميل الزائد على نظام التفويض.
  • استخدم المجموعات كطريقة أساسية لتعيين الأذونات، بدلاً من منح الأذونات مباشرةً للمستخدمين الفرديين.
  • إنشاء حسابات قالب للإضافات الجديدة مع التكوينات القياسية.
  • استخدم أسماء وصفية ومتسقة عبر الحسابات والمجموعات والوحدات التنظيمية.

إن الإدارة المنظمة والمنهجية تمنع الأخطاء الأمنية، وتحسن الأداء، وتقلل الأعباء الإدارية. وبهذا المعنى، فإن الأمر يستحق الاستكشاف ملفات SYS في Windows، والتي يمكنها تقديم مزيد من المعلومات حول إدارة النظام.

إن إدارة المستخدمين والمجموعات في Active Directory ليست مهمة أساسية فحسب، بل هي أيضًا الأساس للبنية الأساسية الآمنة والمنظمة جيدًا. من إنشاء الحسابات وحذفها إلى الأتمتة باستخدام الأوامر أو البرامج النصية، فإن وجود خطة واضحة واتباع أفضل الممارسات يضمن بيئة تكنولوجيا معلومات أكثر كفاءة وقوة.

مقالة ذات صلة:
خمسة من أفضل برامج إدارة ملفات iPad لأجهزة الكمبيوتر التي تعمل بنظام Windows