المقدمة
يصف هذا المستند التغييرات التي تم إجراؤها على بيئة Windows بواسطة البرنامج النصي لتكوين وحدة التحكم بالمجال لدينا.
نظرة عامة على برنامج تهيئة DC
تتطلب كل وحدة تحكم بالمجال تسجيلا لمرة واحدة مع Umbrella API/Dashboard. يقوم برنامج تهيئة التيار المباشر الخاص بنا بتهيئة هذا مع هذه الدوال:
- تحقق من تكوين الأذونات الضرورية وقواعد جدار الحماية
- (إختياري) قم بتكوين هذه الأذونات تلقائيا
- (إختياري) قم بتسجيل وحدة التحكم بالمجال باستخدام Umbrella API/Dashboard، فقط في حالة نجاح عمليات التحقق هذه.
ملاحظة: كما يمكن تسجيل قائمة وحدات التحكم بالمجال يدويا بواسطة دعم Umbrella. وهذا مفيد عادة في السيناريوهات التي لا يكون فيها الوصول إلى API / الإنترنت ممكنا لوحدة التحكم بالمجال. ومع ذلك، ما يزال يتعين تكوين تغييرات الأذونات الموضحة، لذلك لا نزال نوصي بشدة بتشغيل البرنامج النصي للتكوين.
عند تشغيل البرنامج النصي في البداية لا يتم إجراء أي تغييرات على البيئة. يتحقق البرنامج النصي مما إذا كانت كل الصلاحيات الضرورية في مكانها. إذا كانت هناك مشكلة، يوعز إليك (Y/N)
ولكن لإجراء التغييرات.
بمجرد اكتمال البرنامج النصي للتسجيل، لا يلزم أي برنامج ليتم تشغيله على وحدة التحكم بالمجال نفسها. ومع ذلك، يجب تثبيت خدمة موصل OpenDNS على كمبيوتر واحد على الأقل (على سبيل المثال. وحدة التحكم بالمجال أو خادم العضو).
المرحلة 1 - الاختبارات
في البداية يجمع النص البرمجي هذه المعلومات:
- التحقق من إصدار نظام التشغيل ومستوى وظائف الغابات
- التحقق من ما إذا كان يتم تشغيل البرنامج النصي كمسؤول.
- الحصول على معلومات عنوان IP واسم المضيف واسم المجال للخوادم
- التحقق من تمكين جدار حماية Windows، وما إذا كانت قاعدة الإدارة عن بعد المدمجة مسموح بها
- التحقق من حساب مستخدم المجال المطلوب 'OpenDNS_Connector'
ملاحظة: إذا لم يكن مستخدم OpenDNS_Connector موجودا، فإن البرنامج النصي يطبع النتائج ويجهض. يجب إنشاء مستخدم المجال هذا يدويا قبل تشغيل البرنامج النصي. إذا كان حساب OpenDNS_Connector موجودا، ينتقل البرنامج النصي إلى هذه التحققات.
- التحقق مما إذا كان المستخدم OpenDNS_Connector لديه أذونات ل 'Remote Enable' و'Read Security' في مساحة اسم WMI الجذر\cimv2.
- التحقق مما إذا كان حساب OpenDNS_Connector يحتوي على إذن Active Directory 'Replating Directory Changes'، والذي يتم منحه عادة من قبل عضوية مجموعة وحدات التحكم بالمجال للقراءة فقط الخاصة بالمؤسسة.
- التحقق مما إذا كان حساب OpenDNS_Connector عضوا في مجموعة قراء سجل الأحداث
- التحقق مما إذا كان حساب OpenDNS_Connector عضوا في مجموعة 'مستخدمي COM الموزعين
- التحقق من المجموعة الناتجة من النهج (RSOP) لمعرفة ما إذا تم تمكين أحداث تسجيل الدخول للتدقيق من خلال نهج المجموعة
- التحقق من المجموعة الناتجة من النهج (RSOP) لمعرفة ما إذا كان حساب OpenDNS_Connector له الحق في تعيين 'إدارة التدقيق وسجل الأمان
المرحلة 1 ب - نتائج الاختبار
تختلف النتائج التي يطبعها البرنامج النصي للتكوين حسب إصدار نظام التشغيل.
على الخادم 2003 والإصدارات الأحدث، يمكنك الاطلاع على هذه النتائج:
AD User Exists: true/false
WMI Permissions Set: true/false
DCOM Permissions Set: true/false
RDC Permissions Set: true/false
Audit Policy Set: true/false
Manage Event Log Policy Set: true/false
Distributed COM MemberOf: true/false
على Server 2008 والأحدث (فقط عندما يكون مستوى وظائف الغابة 2008+) يتم عرض هذه المعلومات أيضا. (هذه المجموعة غير موجودة في الإصدارات السابقة):
Event Log Readers MemberOf: true/false
المرحلة 2 - تغييرات التكوين التلقائي
في حالة فشل عمليات التحقق هذه، تتم مطالبتك "هل تريد منا تكوين وحدة التحكم بالمجال هذه (y أو n) تلقائيا؟ "
قبل إجراء أي تغييرات.
تم إجراء هذه التغييرات:
- تمكين قاعدة جدار حماية Windows المضمنة 'للإدارة عن بعد"، إذا لزم الأمر
- يمنح صراحة الحساب 'OpenDNS_Connector' 'Remote Enable' وأذونات 'Read Security' في مساحة اسم WMI الجذر\cimv2.
- منح حساب 'OpenDNS_Connector' بشكل صريح أذونات 'نسخ تغييرات الدليل
- إضافة حساب 'OpenDNS_Connector' إلى مجموعة 'مستخدمي COM الموزعين'
في 2008+ يتم إجراء هذا التغيير أيضا:
- إضافة حساب 'OpenDNS_Connector' إلى مجموعة قراء سجل الأحداث
ملاحظة: إذا تم رفض التكوين التلقائي، أو فشلت هذه التغييرات، فإن البرنامج النصي لا يتابع إلى التسجيل.
المرحلة 2b - تحذيرات التكوين التلقائي
ينتج البرنامج النصي تحذيرات إذا لم يتم تكوين إعدادات نهج المجموعة بشكل صحيح. يتعذر على البرنامج النصي تصحيح هذه المشاكل.
كافة أنظمة التشغيل:
- يحذر البرنامج النصي ما إذا لم يتم تكوين إعداد "أحداث تسجيل الدخول للتدقيق" بشكل صحيح في "نهج المجموعة"، ولكنه لا يقوم بتعديل "نهج المجموعة".
في عام 2003 (و 2003 على المستوى الوظيفي):
- يحذر البرنامج النصي ما إذا لم يتم تكوين حق إدارة التدقيق وسجل الأمان بشكل صحيح في نهج المجموعة، ولكنه لا يقوم بتعديل نهج المجموعة.
ملاحظة: الرجاء تصحيح هذه المشكلة يدويا وإعادة تشغيل برنامج التكوين النصي. لا يتابع البرنامج النصي التسجيل حتى يتم تصحيح هذه الملفات.
المرحلة 3 - التسجيل
يطالب البرنامج النصي قبل تسجيل وحدة التحكم بالمجال مع Umbrella هل ترغب في تسجيل وحدة التحكم بالمجال هذه (y أو n)؟.
يتم إرسال هذه المعلومات إلى Umbrella:
- اسم المضيف / التسمية لوحدة التحكم بالمجال
- اسم المجال
- عنوان IP
- معرف المؤسسة والرمز المميز الفريدين لديك (المضمنة في البرنامج النصي الخاص بك) لتعريف وحدة التحكم بالمجال DC بشكل فريد بمؤسسة Umbrella الخاصة بك.
يتم التسجيل بشكل آمن عبر موقع https://api.opendns.com