آشنایی با اکتیودایرکتوری – بخش دوم (گروه‌ها و امنیت)

  دانلود نسخه‌ی PDF

گروه‌ در اکتیودایرکتوری چیست؟
تفاوت گروه‌ با OU
انواع گروه‌ها در اکتیودایرکتوری
امنیت اکتیودایرکتوری

 

گروه‌ در اکتیودایرکتوری چیست؟

در اکتیودایرکتوری، یک گروه شامل مجموعه‌ای از حساب‌های کاربری، کامپیوترها و حتی دیگر گروه‌ها است که می‌توان به آن به صورت یک مجموعه‌ی واحد نگاه کرد تا برخی امور مدیریتی آسان‌تر شود. اشیائی که متعلق به یک گروه هستند را اعضای گروه (Group Member) می‌گویند. به کمک گروه‌ها، مدیر شبکه می‌تواند مجوزهای دسترسی (Permission) را به یک گروه اعمال کند، به جای آنکه مجوزها را برای تک‌تک افراد تعریف کند که بسیار غیرکارامد خواهد بود.

گروه‌ها می‌توانند هم به صورت محلی بر روی یک کامپیوتر خاص تعریف شوند (که در این صورت فقط آن کامپیوتر گروه را مشاهده خواهد کرد) و یا در دامین تعریف شوند. گروه‌های اکتیودایرکتوری خود اشیائی هستند که درون یک container یا OU تعریف شده‌اند. اکتیودایرکتوری، علاوه بر آنکه مجموعه‌ای از گروه‌های پیش‌فرض را پس از نصب مهیا می‌سازد، امکان ساخت گروه‌های جدید بر اساس نیاز مدیران را نیز فراهم می‌کند.

شما می‌توانید یک گروه را عضو گروهی دیگر کنید، که به آن گروه تودرتو (Nested Group) می‌گویند. این امر، امکان تخصیص مجوز دسترسی به مجموعه‌ای از گروه‌ها را توسط یک گروه فراهم می‌کند. برای مثال فرض کنید که می‌خواهید به گروه‌های HR و مالی که شامل کاربران دپارتمان‌های مربوطه می‌باشند مجوز دسترسی به پوشه‌ Shared files را فراهم کنید. شما می‌توانید یک گروه دیگر به نام SharedFilesGroup ایجاد کنید و سپس این دو گروه (یا هر گروهی که نیاز به دسترسی به این پوشه دارد) را عضو آن کنید. در انتها، تنها کافیست که به این گروه مجوز دسترسی به این پوشه را دهید و در نتیجه‌ی آن تمام اعضای آن مجوز لازم را دریافت خواهند کرد.

 

تفاوت گروه‌ با OU

هر چند که گروه و OU شامل مجموعه‌ای از اشیاء (مانند حساب‌های کاربری، کامپیوترهای و ...) هستند، کارکرد و استفاده‌ی آنها کامل با هم متفاوت است و در عمل نمی‌توان از یکی به جای دیگری استفاده کرد. برای روشن شدن این موضوع باید تفاوت کاربرد آنها را به روشنی درک کنید.

هدف اصلی از گروه‌ها در ساختار اکتیودایرکتوری آسان‌سازی فرایند تخصیص مجوز دسترسی است. این در حالی است که مفهوم OU برای کاربردی کاملاً متفاوت پدیدار شده است. قبل از بیان کابرد OU ابتدا بهتر است تفاوت‌های اصلی آن را با گروه‌ها بدانید. OU سه تفاوت عمده با گروه دارد که به قرار زیر است:

  • OUها دارای SID نیستند (SID یک شماره یکتا است که برای کنترل و مدیریت اشیاء در اکتیودایرکتوری توسط خود اکتیودایرکتوری به صورت خودکار به اشیاء تخصیص داده می‌شود).
  • OUها را نمی‌توان در لیست‌های کنترل دسترسی (Access Control List) که برای تخصیص مجوزها استفاده می‌شوند قرار داد.
  • OUها را نمی‌توان درون گروه‌ها قرار داد و یا آنها را عضو گروه‌ها کرد.

با وجود این محدودیت‌ها، اساساً کاربرد OU چیست؟ کاربرد اصلی OU در سازمان‌دهی و مدیریت اشیاء اکتیودایرکتوری است. برای مثال، برخی از کاربردهای OUها به شرح زیرند:

  • تفویض اختیار امور مدیریتی به اشیاء موجود در یک OU.
  • اعمال تنظیمات سیاست‌ها گروهی (GPO) به یک OU (توجه داشته باشید که امکان اعمال یک GPO به یک گروه، یا یک کامپیوتر و حساب‌کاربری وجود ندارد و حتما باید به یک OU اعمال شود).

بنابراین، گروه‌ها و OUها با وجود آنکه مفاهیم به ظاهر مشابهی هستند و هر دو شامل مجموعه‌ای از دیگر اشیاء هستند، در کاربرد با یکدیگر کاملاً متفاوت هستند و محدودیت‌های هر یک ناشی از کاربرد و خواستگاه آنها می‌باشد.

 

انواع گروه‌ها در اکتیودایرکتوری

در اکتیودایرکتوری، گروه‌ها بر اساس کاربرد به دو دسته تقسیم می‌شوند: گروه‌های distribution و گروه‌های security. از گروه‌های distribution برای ساخت لیست توزیع ایمیل و از گروه‌های security برای تخصیص مجوز‌های و اشتراک منابع استفاده می‌شود.

 

گروه‌های distribution

این گروه‌ها برای دسته‌بندی کاربران و فراهم کردن لیستی از کاربران است تا بتوان به سادگی به تمام اعضای آنها ایمیل زد (به کمک Microsoft Exchange Server). این گروه‌ها تنها برای ارسال ایمیل کاربرد دارند و امکان تعیین مجوز دسترسی برای آنها وجود ندارد. توجه داشته باشید که گاهاً از عبارت لیست distribution به جای گروه distribution استفاده می‌شود، خصوصاً در بین مدیران  سرور Exchange.

 

گروه‌های security

همان‌طور که به آن اشاره شد، از گروه‌های security برای تخصیص مجوز دسترسی استفاده می‌شود. به طور عمده از گروه‌‌ها برای دو کاربرد زیر استفاده می‌شود:

1. تعیین سطح دسترسی کاربران: سطح دسترسی کاربران در گروه‌های security مشخص می‌کند که کاربران موجود در آن گروه در آن دامین یا forest امکان انجام چه کارهایی را دارند. این سطوح دسترسی به طور پیش‌فرض برای گروه‌های از پیش ساخته‌شده‌ی اکتیودایرکتوری مشخص شده است تا به مدیران شبکه امکان مشخص کردن وظیفه و سطح دسترسی هر کاربر به سادگی داده شود.

برای مثال، کاربری که عضو گروه از پیش ساخته‌شده‌ی Backup Operator است امکان پشتیبان‌گیری و بازگرداندن فایل‌ها و پوشه‌های موجود در هر DC را دارد. بنابراین، تنها با عضو کردن یک کاربر به یک گروه می‌توان سطح دسترسی بالایی را برای آن مشخص کرد. از این رو تعیین سطح دسترسی کاربران باید با دقت و توجه به نکات امنیتی صورت گیرد.

2. تعیین مجوز دسترسی به منابع: مجوز‌های دسترسی را می‌توان به گروه‌های security تخصیص داد تا امکان دسترسی به منابع اشتراکی را داشته باشند. این مجوز دسترسی با سطح دسترسی متفاوت است زیرا سطح دسترسی در سطح کل دامین اعمال می‌شود، حال آنکه مجوز دسترسی تنها به یک شئ خاص مانند پوشه یا فایل اعمال می‌شود. مجوزهای دسترسی می‌تواند نوع دسترسی را نیز مشخص کند. برای مثال مجوز Read-only تنها امکان مشاهده‌ی فایل‌ها را به کاربر می‌دهد، حال آنکه مجوز Full control تمام مجوز‌ها از جمله خواندن و تغییر و پاک کردن فایل‌ها را به کاربر می‌دهد.

توجه داشته باشید که از دیدگاه مدیریتی، گروه‌های security سربار عملیات را بسیار کاهش می‌دهند. برای مثال، به کمک گروه‌ها می‌توان به جای آنکه تمام کاربران واحد HR را در لیست مجوز‌های تمام پوشه‌های مورد نظر اضافه کرد، تنها گروه مربوط به کاربران HR را در این لیست افزود. از گروه‌های security می‌توان به عنوان گروه‌های distribution به منظور ارسال ایمیل نیز استفاده نمود، اما بالعکس آن ممکن نیست.

با وجود مزایای اکتیو دایرکتوری در خصوص گروه‌ها و دیگر موارد، امکان گزارش‌گیری در اکتیو دایرکتوری نه تنها در مورد گروه‌ها، بلکه در مورد موارد دیگری مانند کاربران و کامپیوترها نیز بسیار ناکارآمد است. اغلب بدون داشتن دانش اسکریپت نویسی تهیه‌ گزارش غیر ممکن خواهد بود. برای مثال بدست آوردن لیست کاربرانی که عضو هیچ گروهی نیستند با ابزارهای پیش‌فرض AD غیرممکن است. از این رو در سازمان‌های بزرگ اغلب از ابزارهای مدیریت AD، مانند برنا، که گزارش نیز تهیه می‌کنند استفاده می‌شود. 

 

تقسیم‌بندی بر اساس حوزه (Scope) کارکرد

مستقل از آنکه یک گروه distribution باشد یا security، هر گروه از نظر حوزه‌ی دسترسی به کاربران و تعیین دسترسی می‌تواند شامل یکی از حوزه‌های زیر باشد:

  1. Universal Group: این نوع گروه می‌تواند شامل کاربران، گروه‌ها و کامپیوترهای موجود در کل forest باشد. همچنین این گروه می‌تواند برای تعیین مجوز دسترسی به منابع موجود در هر قسمت از forest استفاده شود. هر چند دسترس‌پذیری این گروه در تمام forest کار مدیریتی را آسان می‌کند، اما از آنجا که تغییراتی که مرتبط با این گروه‌ها می‌باشد باید در کل شبکه اعلام شوند، استفاده بی مورد از این گروه‌ها باعث افزایش ترافیک شبکه می‌شود.
  2. Global Group: این گروه تنها می‌تواند در دامین خود و دامین‌هایی که با آن رابطه‌ی trust دارند مورد استفاده قرار گیرد. این گروه تنها می‌‎تواند شامل کاربران، کامپیوترها و گروه‌های موجود در دامین خود باشد و نمی‌تواند گروه Universal را به عنوان عضو بپذیرد.
  3. Domain Local Group: این گروه، بر خلاف گروه global، می‌تواند شامل گروه universal، global و دیگر گروه‌های domain local باشد. این گروه همچنین می‌تواند شامل کاربران و کامپیوترهای هر دامین در forest باشد. با این وجود، این گروه تنها می‌تواند حق دسترسی به منابعی را بدهد که در همان دامین وجود دارد.

 

امنیت اکتیودایرکتوری

سرویس اکتیودایرکتوری وظایف بسیار قابل توجهی را در فراهم کردن اصول امنیتی در شبکه به عهده دارد. از میان این وظایف، احراز هویت و تعیین مجوزها را می‌توان نام برد که اکتیودایرکتوری بسیار موثر و کارامد آنها را مدیریت می‌کند. در این بخش، دیگر مسائل امنیتی مانند access token و لیست کنترل دسترسی (ACL) را نیز به اختصار بیان خواهیم کرد. توجه داشته باشید که بیان لیست کاملی از موارد امنیتی در خصوص اکتیو دایرکتوری خود کتابی حجیم خواهد شد. برای آشنایی با موارد پر اهمیت در خصوص امنیت اکتیو دایرکتوری می‌توانید به مقاله ارتقاء امنیت Active Directory مراجعه کنید.

 

احراز هویت

اکتیودایرکتوری وظیفه بررسی صحت اطلاعات ورودی برای login که شامل نام کاربری و رمز عبور می‌شود را به عهده دارد. یکی از قابلیت‌های مهم اکتیودایرکتوری Single Sign On یا SSO می‌باشد که به واسطه‌ی آن کاربر نیاز نیست به هنگام اتصال به هر منبع شبکه‌ای یا نرم‌افزاری اطلاعات کاربری خود را مجدداً وارد نماید (در صورتی که یک بار با موفقیت به سیستم وارد شده باشد).

 

تعیین مجوزهای کاربر

احراز هویت تنها به فرایندی که شناسایی کاربران را بررسی می‌کند گفته می‌شود. حال آنکه بررسی اینکه آن کاربر به چه منابعی دسترسی دارد و سطح دسترسی آن چه میزان می‌باشد به عهده بخش تعیین مجوزها می‌باشد. در حقیقت، پس از احراز هویت، یک کاربر بالقوه امکان دسترسی به تمام منابع را دارد. اما آنجه که کاربران را محدود می‌سازد مجوزهای و سطح دسترسی‌های تعیین شده می‌باشد.

 

Access Token

هر بار که یک کاربر موفق به احراز هویت و ورود به سیستم می‌شود، ویندوز یک access token برای آن ایجاد می‌کند. از این token، بعدها در فرایند تعیین مجوزها استفاده می‌شود. این token شامل اطلاعات زیر می‌باشد:

  • SID کاربر: هر کاربر یک شماره‌ی یکتا دارد که اکتیودایرکتوری به کمک آن کاربران را می‌شناسد (نه از روی نام کاربری).
  • SID گروه‌ها: مانند کاربران، گروه‌ها نیز یک شماره‌ی شناسایی یکتا دارند. Token شامل لیستی از SID گروه‌هایی که کاربر عضو آن است می‌باشد.
  • سطح دسترسی و مجوز‌های کاربر: تمام مجوزها و سطوح دسترسی که به کاربر یا گروه‌های عضو تخصیص داده شده است نیز در token ذخیره می‌شود.

هنگامی که یک کاربر می‌خواهد به یک شئ دسترسی داشته باشد، ویندوز SIDهای موجود در access token را با لیست کنترل دسترسی آن شئ مقایسه کرده و بر اساس آن می‌تواند میزان دسترسی کاربر را متوجه شود.

 

لیست‌های کنترل دسترسی (ACLs)

هر شئ در اکتیودایرکتوری شامل دو لیست کنترل دسترسی مجزا می‌باشد که کاربرد متفاوتی دارند. این دو لیست کنترل دسترسی به قرار زیر می‌باشند:

  • Discretionary Access Control List (DACL): این لیست شامل گروه‌ها، کامپیوترها و کاربرانی است که دسترسی یا عدم دسترسی برای آنها تنظیم شده است.
  • System Access Control List (SACL): این لیست مشخص کننده‌ی آن است که از چه رویدادهایی و برای چه کاربران یا گروهایی در اکتیودایرکتوری log برداشته شود.

در این مقاله با گروه‌ها و امنیت در AD آشنا شدید. مدیریت گروه‌ها و OUها با بزارهای پیش‌فرض ویندوز بسیار پیچیده و ناکارآمد است. موارد مرتبط با آنها مانند تفویض اخنیار و تنظیم دسترسی‌ها نیز بسیار دشوار است خصوصاً اگر سازمانی که از آن استفاده می‌کند نسبتاً بزرگ باشد. از این رو معمولاً مدیران فناوری اطلاعات تمایل به استفاده از نرم‌افزارهای مطمئنی مانند برنا برای مدیریت اکتیودایرکتوری استفاده کنند.

خواندن 227 دفعه

ayande.jpgdarya-navardi.jpgeghtesad-novin.jpgfolad-khozestan.jpggoldiran.jpggorgan.jpgirna.jpgmarkazi.jpgmaskan.jpgnosazi.jpgpasargad.jpgpetroshimi.jpgrefah.jpgrightel.jpgsarmayeh.jpgsepah.jpgshoraye-ali.jpgtejarat.jpg
opportunity job