שאלה מהו Active Directory Domain Services וכיצד הוא פועל?


זה קנוניקל שאלה על שירותי Active Directory דומיין (AD DS).

מהו Active Directory? מה זה עושה ואיך זה עובד?

כיצד מארגן Active Directory: יער, תחום ילדים, עץ, אתר או OU


אני מוצא את עצמי מסביר כמה ממה שאני מניח הוא ידע על זה כמעט מדי יום. שאלה זו, יש לקוות, לשמש שאלה קנונית ותשובות עבור רוב שאלות בסיסיות של Active Directory. אם לדעתך תוכל לשפר את התשובה לשאלה זו, ערוך אותה.


136
2018-06-27 03:47




אני לא רוצה להיראות כאילו אני repor- זנות, אבל אני חושב שזה שווה קישור לתיאור לא טכני של AD, גם אם אתה נתקל במצב שבו אתה צריך לתאר את זה בפחות פרטים טכניים: serverfault.com/q/18339/7200 - Evan Anderson
קישורים אפשריים לשאלה זו: serverfault.com/questions/568606/... - serverfault.com/questions/472562/... - serverfault.com/questions/21780/... - serverfault.com/questions/72878/... רק כדי שם כמה. אולי קנוני הוא כדי @ MDMarra - TheCleaner


תשובות:


מהו Active Directory?

Active Directory Domain Services הוא שרת המדריך של Microsoft. הוא מספק מנגנוני אימות והרשאה וכן מסגרת במסגרתה ניתן לפרוס שירותים קשורים אחרים (שירותי אישור לספירה, שירותים מאוחדים של AD, וכו '). זה LDAP מסד נתונים תואם המכיל אובייקטים. האובייקטים הנפוצים ביותר הם משתמשים, מחשבים וקבוצות. אובייקטים אלה ניתן לארגן יחידות ארגוניות (OUs) על ידי מספר כלשהו של צרכים לוגיים או עסקיים. אובייקטים של מדיניות קבוצתית (GPO) יכול להיות מקושר OUs כדי לרכז את ההגדרות עבור משתמשים שונים או מחשבים ברחבי הארגון.

כאשר אנשים אומרים "Active Directory" הם בדרך כלל מתייחסים "Active Directory תחום שירותי". חשוב לציין כי ישנם אחרים Active Directory תפקידים / מוצרים כגון שירותי אישורים, שירותי הפדרציה, Lightweight Directory Services, זכויות שירותי ניהול וכו 'תשובה זו מתייחסת במיוחד שירותי Active Directory תחום.

מהו תחום ומהו יער?

יער הוא גבול ביטחוני. אובייקטים ביערות נפרדים אינם מסוגלים לתקשר זה עם זה, אלא אם המנהלים של כל יער נפרד ליצור אמון ביניהם. לדוגמה, חשבון מנהל מערכת ארגוני עבור domain1.com, שהוא בדרך כלל חשבון חסוי ביותר של היער, יהיה, אין הרשאות בכלל ביער השני בשם domain2.com, גם אם היערות האלה קיימים באותה רשת LAN, אלא אם כן יש אמון במקום.

אם יש לך יחידות עסקיות מרובות או יש צורך גבולות אבטחה נפרדים, אתה צריך מספר יערות.

תחום הוא גבול ניהול. דומיינים הם חלק מיער. התחום הראשון ביער נקרא תחום שורש היער. בארגונים קטנים ובינוניים רבים (ואפילו כמה גדולים), תוכלו למצוא רק תחום אחד ביער בודד. תחום שורש היער מגדיר את מרחב השמות המוגדר כברירת מחדל עבור היער. לדוגמה, אם שם הדומיין הראשון ביער חדש נקרא domain1.com, אז זה תחום שורש היער. אם יש לך צורך עסקי עבור תחום ילדים, לדוגמה - סניף בשיקגו, אתה יכול שם תחום הילד chi. ה FQDN של תחום הילד יהיה chi.domain1.com. אתה יכול לראות את שם התחום של הילד היה מוכן שם היער שורש היער. זה בדרך כלל איך זה עובד. אתה יכול להיות משטחים שמות נפרדים באותו היער, אבל זה כל נפרד יכול של תולעים בפעם אחרת.

ברוב המקרים, תרצה לנסות ולעשות הכל כדי שיהיה לך תחום מודעה יחיד. היא מפשטת את הניהול, וגרסאות מודרניות של AD מקלות מאוד על האצלת שליטה המבוססת על OU, מה שמקטין את הצורך בתחומים של ילדים.

אני יכול שם התחום שלי מה שאני רוצה, נכון?

לא באמת. dcpromo.exe, הכלי המטפל בקידום שרת ל- DC אינו הוכחה אידיוטית. זה נותן לך לעשות החלטות רעות עם שמות שלך, אז לשים לב סעיף זה אם אתה לא בטוח. (עריכה: dcpromo הוא הוצא משימוש בשנת 2012. השתמש Install-ADDSForest PowerShell cmdlet או להתקין AD DS מ מנהל השרת.)

קודם כל, אל תשתמש TLDs מורכב כמו .local, .llan, .corp, או כל החרא השני. אלה TLDs הם לא שמורות. ICANN מוכר TLDs עכשיו, אז שלך mycompany.corp כי אתה משתמש היום יכול ממש שייך למישהו מחר. אם אתה הבעלים mycompany.com, אז הדבר החכם לעשות הוא להשתמש במשהו כמו internal.mycompany.com או ad.mycompany.com עבור שם המודעה הפנימית שלך. אם אתה משתמש mycompany.com כמו אתר אינטרנט לפתרון חיצוני, כדאי להימנע משימוש זה כמו שם המודעה הפנימית שלך גם כן, כי אתה בסופו של דבר עם DNS מפוצל המוח.

בקרי תחום וקטלוגים גלובליים

שרת המגיב לבקשות אימות או הרשאה הוא בקר תחום (DC). ברוב המקרים, בקר תחום יחזיק עותק של קטלוג גלובלי. קטלוג גלובלי (GC) הוא קבוצה חלקית של אובייקטים את כל תחומים ביער. היא ניתנת לחיפוש ישירות, כלומר, שאילתות בין תחומים יכולות להתבצע בדרך כלל ב- GC ללא צורך בהפניה ל- DC בתחום היעד. אם DC נשאל ביציאה 3268 (3269 אם אתה משתמש ב- SSL), לאחר מכן, אתה נשאל על GC. אם יציאה 389 (636 אם אתה משתמש ב- SSL) מתבצע שאילתה, נעשה שימוש בשאילתה סטנדרטית של LDAP ואובייקטים קיימים בתחומים אחרים עשויים לדרוש הפניה.

כאשר משתמש מנסה להתחבר למחשב המחובר ל- AD באמצעות אישורי AD שלהם, שילוב המשתמש והסיסמה המלוח והנשלח נשלחים ל- DC הן עבור חשבון המשתמש והן עבור חשבון המחשב שנכנס. כן, גם יומני מחשב. זה חשוב, כי אם קורה משהו לחשבון המחשב ב- AD, כמו שמישהו מאפס את החשבון או מוחק אותו, ייתכן שתקבל הודעת שגיאה שאומרת שקיים יחסי אמון בין המחשב לבין התחום. למרות אישורי הרשת שלך בסדר, המחשב כבר לא מהימן להיכנס לתחום.

בקר תחום זמינות דאגות

אני שומע "יש לי בקר תחום ראשי (PDC) ורוצים להתקין בקר תחום גיבוי (BDC)" הרבה יותר קרובות כי אני רוצה להאמין. הרעיון של PDCs ו BDCs מת עם Windows NT4. המעוז האחרון עבור PDCs היה במעבר Windows 2000 במצב מעורב AD כאשר עדיין היו NT4 DCs מסביב. בעיקרון, אלא אם כן אתה תומך בן 15 + להתקין את זה מעולם לא שודרג, אתה באמת אין לך PDC או BDC, יש לך רק שני בקרי תחום.

מספר DCs מסוגלים לענות על בקשות אימות ממשתמשים ומחשבים שונים בו זמנית. אם אחד נכשל, ואז ימשיכו האחרים להציע שירותי אימות מבלי לעשות אחד "העיקרי" כמו היית צריך לעשות את NT4 ימים. מומלץ להתאמן לפחות שני DCs לכל תחום. אלה DCs שניהם צריכים להחזיק עותק של GC ויש שניהם להיות שרתי DNS המחזיק עותק של אזורי DNS משולב Active Directory עבור התחום שלך גם כן.

תפקידים FSMO

"אז, אם אין PDCs, למה יש תפקיד PDC שרק DC אחד יכול להיות?"

אני שומע את זה הרבה. יש PDC אמולטור תפקיד. זה שונה מאשר להיות PDC. למעשה, יש 5 גמיש תפעול ראשי יחידת תפקידים (FSMO). אלה נקראים גם תפעול ראשי תפקידי גם כן. שני המונחים ניתנים להחלפה. מה הם ומה הם עושים? שאלה טובה! 5 התפקידים ותפקודם הם:

דומיין מתן שמות - יש רק אחד שמות דומיין יחידת לכל יער. מנהל תחום התחום מוודא שכאשר תחום חדש נוסף ליער שהוא ייחודי. אם השרת המחזיק בתפקיד זה אינו מקוון, לא תוכל לבצע שינויים במרחב השמות AD, הכולל דברים כגון הוספת תחומים חדשים של ילדים.

מאסטר סכימה - יש רק אחד Schema תפעול יחידת ביער. היא אחראית לעדכון סכימת Active Directory. משימות הדורשות זאת, כגון הכנת AD לגירסה חדשה של תפקוד Windows Server כ- DC או התקנה של Exchange, מחייבות שינוי סכימה. שינויים אלה חייבים להיעשות מן המאסטר Schema.

מאסטר תשתיות - יש מאסטר תשתית אחד לכל תחום. אם יש לך רק תחום אחד ביער שלך, אתה לא באמת צריך לדאוג לגבי זה. אם יש לך מספר יערות, אז אתה צריך לוודא כי תפקיד זה לא מוחזק על ידי שרת שהוא גם בעל GC, אלא אם כן כל DC ביער הוא GC. מנהל התשתית אחראי לוודא שהפניות בין תחומים מטופלות כראוי. אם משתמש בדומיין אחד נוסף לקבוצה בקבוצה אחרת, מנהל התשתית עבור הדומיינים הנדונים מוודא כי הוא מטופל כראוי. תפקיד זה לא יפעל כראוי אם הוא בקטלוג גלובלי.

מאסטר RID - תעודת הזהות היחסית (RID Master) אחראית על הנפקת בריכות RID ל- DCs. יש מאסטר RID אחד לכל תחום. לכל אובייקט בתחום AD יש תכונה ייחודית מזהה אבטחה (SID). זה מורכב משילוב של מזהה התחום ומזהה יחסי. לכל אובייקט בתחום נתון יש אותו מזהה דומיין, ולכן המזהה היחסי הוא מה שהופך אובייקטים ייחודיים. לכל DC יש מאגר של מזהים יחסיים לשימוש, כך שכאשר DC יוצר אובייקט חדש, הוא מצרף RID שהוא עדיין לא השתמש בו. מאז DCs הם הוציאו שאינם בריכות חופפות, כל RID צריך להישאר ייחודי למשך החיים של התחום. כאשר DC מקבל ~ 100 RIDs שמאל בבריכה שלה, היא מבקשת בריכה חדשה מאסטר RID. אם המאסטר של RID אינו מקוון למשך פרק זמן ממושך, יצירת אובייקטים עלולה להיכשל.

PDC אמולטור- לבסוף, אנחנו מגיעים לתפקיד misunderstood ביותר של כולם, את התפקיד PDC אמולטור. יש אחד PDC אמולטור לכל תחום. אם יש ניסיון אימות נכשל, הוא מועבר ל PDC אמולטור. PDC אמולטור פונקציות כמו "לקשור- breaker" אם סיסמה עודכנה על DC אחד עדיין לא משוכפל לאחרים. אמולטור PDC הוא גם השרת השולט על סינכרון הזמן על פני הדומיין. כל שאר DCs לסנכרן את זמנם של אמולטור PDC. כל הלקוחות לסנכרן את הזמן שלהם מן DC כי הם מחוברים אל. חשוב שהכל יישאר בתוך 5 דקות זה מזה, אחרת Kerberos מעברי וכאשר זה קורה, כולם בוכים.

הדבר החשוב לזכור הוא כי השרתים כי תפקידים אלה לרוץ על לא מוגדר באבן. זה בדרך כלל טריוויאלי כדי להזיז את התפקידים האלה מסביב, ולכן בעוד כמה DCs לעשות קצת יותר מאחרים, אם הם יורדים לפרקי זמן קצרים, הכל יהיה בדרך כלל לתפקד כרגיל. אם הם למטה במשך זמן רב, זה קל שקוף להעביר את התפקידים. זה הרבה יותר נחמד מאשר NT4 PDC / BDC ימים, אז בבקשה להפסיק לקרוא DCS שלך על ידי אותם שמות ישנים. :)

אז, אום ... איך DCS לשתף מידע אם הם יכולים לתפקד בנפרד אחד מהשני?

שכפול, כמובן. כברירת מחדל, DCs השייכים לאותו דומיין באותו אתר ישכפל את הנתונים שלהם זה לזה במרווחים של 15 שניות. זה מוודא שהכל יחסית מעודכן.

ישנם כמה "דחוף" אירועים אשר מפעילה שכפול מיידי. אירועים אלה הם: חשבון נעול עבור יותר מדי כניסות נכשלות, שינוי נעשה על סיסמת תחום או מדיניות נעילה, הסוד LSA משתנה, הסיסמה משתנה על חשבון מחשב של DC, או את התפקיד RID מאסטר מועבר ל DC חדש. כל האירועים הללו יפעילו אירוע שכפול מיידי.

שינויים הסיסמה נופלים איפשהו בין דחוף ולא דחוף ומטופלים באופן ייחודי. אם הסיסמה של משתמש משתנה DC01 והמשתמש מנסה להיכנס למחשב המאמת DC02 לפני שכפול מתרחשת, אתה מצפה שזה ייכשל, נכון? למרבה המזל זה לא קורה. נניח שיש גם שליש שלישי שנקרא כאן DC03 המחזיק בתפקיד PDC אמולטור. מתי DC01 מתעדכן עם הסיסמה החדשה של המשתמש, שינוי זה משוכפל באופן מיידי ל DC03 גם. כאשר אתה מנסה אימות על DC02 נכשל, DC02 ולאחר מכן קדימה כי ניסיון אימות DC03, אשר מאמת כי הוא, אכן, טוב, הכניסה מותרת.

בואו נדבר על DNS

DNS הוא קריטי לתפקוד תקין של AD. קו המפלגה הרשמי של מיקרוסופט הוא שכל שרת DNS יכול לשמש אם הוא מוגדר כראוי. אם אתה מנסה להשתמש BIND לארח את אזורי המודעה שלך, אתה גבוה. ברצינות. היצמד באמצעות אזורי AD משולב DNS והשתמש משלחים מותנה או גלובלי עבור אזורים אחרים, אם אתה חייב. הלקוחות שלך צריך להיות מוגדר להשתמש שרתי AD שלך DNS, ולכן חשוב יש יתירות כאן. אם יש לך שני DCs, יש להם להפעיל את שניהם DNS ולהגדיר את הלקוחות שלך כדי להשתמש בשניהם עבור רזולוציה שם.

כמו כן, אתה הולך רוצה לוודא שאם יש לך יותר DC אחד, כי הם לא רשימה עצמם עצמם עבור פתרון ה- DNS. זה יכול להוביל למצב שבו הם על "שכפול האי" שבו הם מנותקים משאר טופולוגיית שכפול AD ולא ניתן לשחזר. אם יש לך שני שרתים DC01 - 10.1.1.1 ו DC02 - 10.1.1.2, יש להגדיר את רשימת השרתים שלהם כך:

שרת: DC01 (10.1.1.1)
  DNS ראשי - 10.1.1.2
  DNS משני - 127.0.0.1

שרת: DC02 (10.1.1.2)
  DNS ראשי - 10.1.1.1
  DNS משני - 127.0.0.1

בסדר, זה נראה מסובך. מדוע אני רוצה להשתמש ב- AD בכלל?

כי ברגע שאתה יודע מה אתה עושה, אתה החיים הופך טוב יותר. AD מאפשר ריכוז של ניהול המשתמש והמחשב, כמו גם את ריכוז גישה ושימוש במשאבים. תארו לעצמכם מצב שבו יש לכם 50 משתמשים במשרד. אם רצית שכל משתמש יקבל את פרטי הכניסה שלו לכל מחשב, יהיה עליך להגדיר 50 חשבונות משתמש מקומיים בכל מחשב. עם AD, אתה רק צריך לעשות את חשבון המשתמש פעם אחת והוא יכול להיכנס לכל מחשב על תחום כברירת מחדל. אם אתה רוצה להקשיח את האבטחה, היית צריך לעשות את זה 50 פעמים. מין סיוט, נכון? כמו כן, לדמיין כי יש לך שיתוף קבצים שאתה רק רוצה מחצית מאותם אנשים להגיע. אם אינך משתמש ב- AD, יהיה עליך לשכפל את שם המשתמש והסיסמאות שלו באופן ידני בשרת כדי להעניק גישה חסרת משמעות, או שיהיה עליך ליצור חשבון משותף ולתת לכל משתמש את שם המשתמש והסיסמה. דרך אחת פירושה שאתה יודע (ויש לי לעדכן כל הזמן) סיסמאות משתמשים. הדרך האחרת פירושה שאין לך שביל ביקורת. לא טוב, נכון?

אתה גם מקבל את היכולת להשתמש מדיניות קבוצתית כאשר יש לך להגדיר AD. המדיניות הקבוצתית היא קבוצה של אובייקטים המקושרים ליחידות ארגוניות שמגדירות הגדרות עבור משתמשים ו / או מחשבים באותן OUs. לדוגמה, אם אתה רוצה לעשות את זה כך "כיבוי" הוא לא בתפריט התחלה עבור 500 מחשבים מעבדה, אתה יכול לעשות את זה הגדרה אחת במדיניות הקבוצתית. במקום לבזבז שעות או ימים להגדרת ערכי הרישום הנכונים ביד, אתה יוצר אובייקט מדיניות קבוצתית פעם אחת, מקשר אותו לאלו הנכונים OUs, ולא צריך לחשוב על זה שוב. ישנם מאות GPOs שניתן להגדיר, ואת הגמישות של מדיניות קבוצתית היא אחת הסיבות העיקריות לכך מיקרוסופט דומיננטי כל כך בשוק הארגון.


146
2018-06-27 03:47



כל הכבוד, מארק. מדהים QA. - EEAA
@TheCleaner הסכים, אבל חלק המשימה של סטאק שערי היא להיות מאגר מרכזי עבור כל מידע שימושי על נושא מסוים. אז, בעוד מידע על ויקיפדיה היא בדרך כלל מאוד נכונה ורלוונטית, זה לא נהיגה אנשים כאן "כאן" צריך להיות one-stop-shop עבור כל מערכות ניהול הקשורות. - MDMarra
@RyanBolger זה הכל נכון, אבל זה Q & A מיועד Newbie. תמיכה היא דאגה גדולה, ומיקרוסופט בהחלט לא עזור לך למיין סוג מודעה שעשוי להיות קשור ל- DNS אם אתה מפעיל BIND (או כל דבר אחר). זוהי תצורה מתקדמת שאינה מומלצת למישהו שצריך לשאול את השאלה "מהו AD וכיצד הוא פועל". נוסף על כך, ה- DNS הוא תפקיד בעל עומס נמוך. אם כבר יש לך DCS, זה באמת קשה לעשות מקרה לא להפעיל DNS עליהם יש משלח גלובלי לשאר תשתית ה- DNS שלך. - MDMarra
@RyanBolger - הסכים עם MDMarra. אם לפרד יש כבר תשתית DNS פנימית מתפקדת היטב ומורכבת, פרד לא יפרסם את המאמר ב- SF, "אז אני עומד להתקין את הקטע הזה של Active Directory - ספר לי על זה בבקשה?" - mfinni
התשובה שלך רק הזכיר לי לבדוק את שרת ה- DNS סדר החיפוש על בקרי תחום של רשת בירושה ... כן הם התכוונו עצמם! - myron-semack


הערה: תשובה זו התמזגה לשאלה זו משאלה אחרת ששאלה על ההבדלים בין יערות, תחומים של ילדים, עצים, אתרים ואוניברסיטאות. זה לא נכתב במקור כתשובה לשאלה ספציפית זו.


יער

אתה רוצה ליצור יער חדש כאשר אתה צריך גבול אבטחה. לדוגמה, ייתכן שיש לך רשת היקפית (DMZ) שאתה רוצה לנהל עם AD, אבל אתה לא רוצה המודעה הפנימית שלך זמין ברשת היקפית מסיבות אבטחה. במקרה זה, אתה רוצה ליצור יער חדש עבור אזור האבטחה. ייתכן גם רוצה הפרדה זו אם יש לך ישויות רבות שאינן סומכות זו על זו - למשל תאגיד פגז כי מקיפה עסקים בודדים הפועלים באופן עצמאי. במקרה זה, היית רוצה כל ישות יש יער משלה.


תחום ילדים

באמת, אתה לא צריך את אלה יותר. יש כמה דוגמאות טובות כאשר אתה רוצה תחום ילדים. סיבה מורשת היא בגלל דרישות מדיניות שונות הסיסמה, אבל זה כבר לא תקף, שכן יש מדיניות בסדר גרגר סיסמאות זמין מאז שרת 2008. אתה באמת צריך רק תחום אם יש לך אזורים עם קישוריות רשת ירודה לקוי ואתה רוצה כדי לצמצם באופן דרמטי את התנועה שכפול - ספינת תענוגות עם קישוריות WAN לוויין היא דוגמה טובה. במקרה זה, כל ספינת תענוגות יכולה להיות תחום הילדות שלה, כדי להיות עצמאית יחסית, ועדיין להיות מסוגלת למנף את היתרונות של להיות באותו יער כמו תחומים אחרים מאותה חברה.


עץ

זה כדור מוזר. עצים חדשים משמשים כאשר ברצונך לשמור על היתרונות הניהוליים של יער בודד, אך יש להם תחום במרחב שמות DNS חדש. לדוגמה corp.example.com עשוי להיות שורש היער, אבל אתה יכול ad.mdmarra.com באותו יער באמצעות עץ חדש. אותם הכללים וההמלצות לגבי תחומים של ילדים חלים כאן - השתמשו בהם במשורה. הם בדרך כלל לא צריך מודעות מודרניות.


אתר

אתר צריך לייצג גבול פיזי או לוגי ברשת. לדוגמה, סניפים. אתרים משמשים לבחירה אינטליגנטית של שותפים לשכפול עבור בקרי תחום בתחומים שונים. ללא הגדרת אתרים, כל DCs יטופלו כאילו הם היו באותו מיקום פיזי לשכפל טופולוגיה רשת. בפועל, רוב הארגונים מוגדרים באופן הגיוני, כך שאתרים ושירותים צריך להיות מוגדר כדי לשקף את זה.

יישומים אחרים משתמשים גם באתרים ובשירותים. DFS משתמש בו להפניות של שמות מרחב ולבחירת שותפים לשכפול. Exchange ו- Outlook משתמשים בו כדי למצוא את הקטלוג הגלובלי "הקרוב ביותר" לשאילתה. המחשבים המחוברים לדומיין שלך משתמשים בו כדי לאתר את ה- DC הקרוב ביותר לאימות. בלי זה, את שכפול התנועה ואת האימות הם כמו המערב הפרוע.


יחידה ארגונית

אלה צריכים להיווצר באופן שישקף את הצורך של הארגון שלך במשלחת הרשאה ויישום מדיניות קבוצתית. ארגונים רבים יש אחד OU לכל אתר, כי הם מחילים GPO ככה - זה טיפשי, כי אתה יכול להחיל GPO לאתר מאתרים ושירותים גם כן. ארגונים אחרים מפרידים בין OUs לפי מחלקה או פונקציה. זה הגיוני עבור אנשים רבים, אבל באמת עיצוב OU צריך לענות על הצרכים שלך הוא גמיש למדי. אין "דרך אחת" לעשות זאת.

חברה רב לאומית עשויה להיות OUs ברמה העליונה של North America, Europe, Asia, South America, Africa כך שהם יכולים להאציל הרשאות ניהוליות המבוססות על היבשת. ארגונים אחרים עשויים להיות OUs ברמה העליונה של Human Resources, Accounting, Sales, וכו 'אם זה הגיוני יותר עבורם. ארגונים אחרים יש צרכים מדיניות מינימלית להשתמש בפריסה "שטוח" עם רק Employee Users ו Employee Computers. אין באמת תשובה נכונה כאן, זה מה עונה על הצרכים של החברה שלך.


17
2018-01-28 17:06



מישהו יודע AD שלו די ביסודיות .. +1 - NickW
@NickW AD שאלות איפה 72k של שלי 72.9k נציג יש כנראה בא: D - MDMarra
ועדיין מאמר נהדר טקט לקרוא אחרי כל הזמן הזה: (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית) technet.microsoft.com/en-us/library/bb727030.aspx - חלקים מסוימים הוחלפו אבל בהחלט שווה לקרוא. - TheCleaner