كيفية الاستقصاء عن تغييرات السمات كائن في "Active Directory" في نظام التشغيل Windows 2000 و Windows Server 2003

ينطبق على: Windows Servers

الملخص


هناك طريقتين التي يمكنك استخدامها لتطوير برامج الاستقصاء خدمة "خدمة الدليل active Directory" لكائن سمة التغييرات. توضح هذه المقالة طريقتين هذه.

مقدمة


تم تصميم بعض برامج مراقبة قاعدة البيانات للحفاظ على التناسق بين كائن البيانات المخزنة في خدمة الدليل "Active Directory" وبيانات كائن مخزن في قاعدة بيانات أخرى. يمكن أن تكون قاعدة البيانات الأخرى قاعدة بيانات Microsoft SQL Server أو قاعدة بيانات "Active Directory" آخر بعض آخر قاعدة بيانات خدمة الدليل. قاعدة بيانات برنامج مراقبة يجب تعقب التغييرات على بيانات كائن "Active Directory"، مثل التحديث والحذف، وهذه التغييرات نسخاً متماثلاً إلى قاعدة بيانات أخرى. قاعدة بيانات مراقبة البرامج تتبع التغييرات في "Active Directory" باستخدام أي من الأساليب التالية:
  • تغيير تسجيل إعلام
  • الاستقصاء
توضح هذه المقالة طريقتين المتوفرة لاستقصاء Active Directory. يوضح هذا المقال كيفية استخدام تسجيل إعلام تغيير لاستقصاء تغييرات في "Active Directory".

مزيد من المعلومات


يمكنك استخدام أسلوبين الاستقصاء التالية لمراقبة التغييرات في "Active Directory":
  • استخدام عنصر تحكم المزامنة (DirSync) الدليل Active Directory.
  • استخدام استعلامات رقم تسلسل التحديث (USN) التي تستخدم السمة أوسنتشانجيد.

الطريقة الأولى: DirSync عنصر التحكم

هو عنصر تحكم DirSync ملحق ملقم بروتوكول وصول الخفيف إلى دليل (LDAP) يتيح برنامج للبحث في قسم "خدمة active Directory" للكائنات التي تم تغييرها. عندما يقوم برنامج بحث DirSync، يقوم البرنامج بإنشاء ملف تعريف ارتباط التي تعرف حالة الدليل في وقت سابق استعلام DirSync. مع البحث الأولى، يقوم البرنامج بإنشاء ملف تعريف ارتباط فارغة وكافة الكائنات التي تحققها الاستعلام إرجاع "خدمة active Directory". إرجاع خدمة active directory أيضا ارتباط محدث يمكن تمريرها إلى البحث التالية للحصول على التغييرات التي تم إجراؤها منذ عملية البحث الأول. يتم تكرار هذه العملية لكل عملية بحث.

سلوك عنصر التحكم DirSync والقيود

يتم تنفيذ عمليات البحث التحكم DirSync مقابل كامل أقسام "Active Directory" أو سياق التسمية. بشكل افتراضي، وحدات تحكم مجال "Active Directory" يستضيف الأقسام الثلاثة التالية:
  • حاوية المجال
  • حاوية التكوين
  • حاوية المخطط
عملية بحث DirSync تحكم بإرجاع كافة التغييرات التي يتم إجراؤها على كائن "Active Directory" بغض النظر عن الأذونات التي تم تعيينها للكائن. بالإضافة إلى ذلك، إرجاع عملية بحث DirSync تحكم التي يتم تشغيلها باستخدام الأذونات المناسبة الكائنات المحذوفة. تعرف أيضا باسم الكائنات المحذوفة هي شواهد القبور. على الرغم من أن عنصر التحكم DirSync قوية وفعالة، يكون له نوعان من القيود. القيد الأول هو أنه يجب تشغيل عنصر التحكم باستخدام حساب مستخدم له إذن "تغييرات دليل النسخ المتماثل" في سياق تسمية المجال. بشكل افتراضي، حساب مستخدم مسؤول على هذا الإذن. على الرغم من ذلك، لا نوصي باستخدام حساب مسؤول لتشغيل البرنامج التحكم DirSync. بدلاً من ذلك، نوصي بمنح إذن "تغييرات دليل النسخ المتماثل" لحساب المستخدم العادي أو مجموعة. لذلك، يمكنك تكوين أذونات محددة ومحدودة لبرنامج التحكم DirSync. لمنح إذن "تغييرات دليل النسخ المتماثل"، يجب تعديل الأذونات على كائن قسم الدليل. للحصول على معلومات إضافية حول كيفية منح الإذن "تغييرات دليل النسخ المتماثل"، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
كيفية منح الإذن "تغييرات دليل النسخ المتماثل" لحساب خدمة Microsoft خدمات إدارة الأدلة ادما 303972
قيد التحكم DirSync الثاني أن بحث التحكم DirSync لا تقتصر على منطقة معينة من Active Directory. لأنه يتم إرجاع كافة التغييرات التي تم إجراؤها إلى قسم "خدمة active Directory" من عملية بحث DirSync تحكم، قد تحدث الوصول إلى بيانات كائن غير مطلوبة.

نظام التشغيل Microsoft Windows 2000 والتحكم DirSync

يدعم Microsoft Windows 2000 Active Directory وضع واحد فقط عند استخدام عنصر تحكم DirSync. يسمى "كل قسم" هذا الوضع ويتسم بالخصائص التالية:
  • يتم إرجاع كافة التغييرات إلى كائنات "Active Directory" بغض النظر عن الأذونات على هذه الكائنات.
  • يتم إرجاع العناصر المحذوفة ككائنات علامة مميزة. وهذا يجعل من الممكن للبرامج لتعقب العناصر المحذوفة.
  • مطلوب إذن "تغييرات دليل النسخ المتماثل" على قسم "الدليل النشط".

نظام التشغيل Microsoft Windows Server 2003 والتحكم DirSync

بشكل افتراضي، يعتمد Microsoft Windows Server 2003 Active Directory وضع "كل قسم". بالإضافة إلى ذلك، يدعم Windows Server 2003 وضع آخر يسمى وضع "كل كائن". يمكنك تحديد وضع "كل كائن" عند تطوير برنامج باستخدام علامة التي تم تمريرها في دالة بحث LDAP. إذا كان البرنامج تحديد وضع "كل كائن"، إذن "تغييرات دليل النسخ المتماثل" غير مطلوب. ملاحظة: يتعذر تحديد مسؤول "الدليل النشط" في ما إذا كان يمكن استخدام برنامج أو وضع "كل قسم" لكل كائن. يتحدد الوضع دالة بحث LDAP التي يتم ترميز في البرنامج.

الطريقة الثانية: USN استعلامات باستخدام السمة أوسنتشانجيد

عند تعديل وحدة تحكم مجال كائن ما، فإنه بزيادة قيمة السمة هيغيستكومميتيدوسن. عند حدوث زيادة وحدة تحكم المجال أيضا لتعيين سمة أوسنتشانجيد لهذا الكائن إلى القيمة الجديدة. في هذه العملية، كل تغيير لكائن في "Active Directory" مختومة بقيمة فريدة من نوعها ورتيبة. لذلك، برنامج الحصول على أحدث التغييرات إلى كائن ما على وحدة تحكم مجال بالعثور على الكائن الذي يحتوي على أكبر قيمة السمة أوسنتشانجيد. وبشكل مماثل، تناظر قيمة السمة أوسنتشانجيد ثاني أكبر الثاني الأكثر مؤخرا تكرار الكائن المتغير، وهذه العملية.

مراقبة USN تغيير السلوك

لا يتم نسخ السمة أوسنتشانجيد. لذلك، عند قراءة سمة أوسنتشانجيد لكائن على اثنتين من وحدات تحكم مجال أخرى، سمة أوسنتشانجيد عادة بإرجاع القيم المختلفة. للحفاظ على التناسق باستخدام السمة أوسنتشانجيد، برنامج يجب أولاً إجراء مزامنة كاملة مع "Active Directory"، وثم تحديد أعلى قيمة السمة أوسنتشانجيد للكائنات التي يتم إرجاعها. عندما تستقصي البرنامج تغييرات، البحث في "Active Directory" لكافة كائنات قيمة السمة uSNChanged التي أكبر من القيمة التي تم قراءتها في وقت سابق.

مراقبة USN تغيير الأذونات والفوائد

هناك اثنين من الفوائد باستخدام السمة أوسنتشانجيد الاستقصاء عن التغييرات في كائن "خدمة active Directory". الفائدة الأولى أن بحث قيمة سمة أوسنتشانجيد يمكن أن تقتصر على منطقة معينة من Active Directory. على سبيل المثال، بخلاف عنصر تحكم DirSync، يبحث تغيير الكائن يمكن أن يقتصر على شجرة فرعية معينة في الدليل. الفائدة الثانية أن لم تكن لتكوين أذونات حساب المستخدم الخاص أو مجموعة أذونات للبرنامج. يتطلب البرنامج فقط أذونات "القراءة" و "قائمة لكل كائن حاوية والأطراف في الشجرة الفرعية التي يتم البحث فيها. ملاحظة: إذا كنت تستخدم أسلوب التحكم DirSync، يجب تكوين حساب المستخدم أو المجموعة يحتوي على "خاصية القراءة" وقائمة الأذونات على حاوية "الكائنات المحذوفة" لإرجاع كائنات Active Directory التي تم حذفها. إذا لم يكن البرنامج الخاص بك على أذونات للوصول إلى كائن، لا يتم إرجاع بيانات الكائن بالبرنامج. بالإضافة إلى ذلك، يتم تخزين السمة أوسنتشانجيد باستخدام أسلوب لكائن، بدلاً من أسلوب كل سمة. ولهذا السبب، يتم إرجاع كافة الخصائص المقترنة مع الكائن بدلاً من السمات المعدلة فقط. إذا كنت تستخدم أسلوب التحكم DirSync أو طريقة تغيير USN، برامج البحث في "Active Directory" فقط إرجاع الكائنات والسمات حيث يكون لديك الأذونات المناسبة. على سبيل المثال، الكائنات الموجودة في حاوية "الكائنات المحذوفة"، قد لا يتم إرجاع البحث. على سبيل المثال، علامات عبارة عن كائن قد يكون في حاوية "الكائنات المحذوفة". بشكل افتراضي، يمكن الوصول الحاوية "حذف الكائنات" فقط عن طريق حسابات المسؤول والنظام.

الكشف عن حذف الكائن

للكشف عن حذف الكائن، يجب القيام برنامج مزامنة دورية كاملة ل "Active Directory"، أو يجب على حدة البحث "حذف الكائنات" الحاوية وإزالتها من قاعدة البيانات الخاصة به الكائنات التي تم حذفها في "Active Directory". لمزيد من المعلومات حول تعقب التغييرات في "Active Directory"، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول الاستقصاء عن استخدام عنصر التحكم DirSync التغييرات، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول الاستقصاء للتغييرات باستخدام السمة أوسنتشانجيد، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول "خدمة active Directory" استقصاء تغييرات عرض معلومات التعليمات المضمن مع Microsoft النظام الأساسي البرامج تطوير مجموعة (SDK).