برنـا، راه کاری ضروری برای واحد فناوری اطلاعات

  دانلود نسخه‌ی PDF

اهمیت و جایگاه AD در سازمان
معماری برنا چگونه است؟
کاهش بار کاری و افزایش دقت امور مدیریت کاربران
آسان سازی و استانداردسازی فرآیند ایجاد و حذف اکانت‌ها
تفویض اختیار امور مدیریت دامین به آسانی و آسودگی خاطر
اتوماسیون امور نگه‌داری اکتیو دایرکتوری
گزارش‌گیری از AD ضرورتی انکارناپذیر

 

اهمیت و جایگاه AD در سازمان

بدون اغراق، AD را می‌توان به عنوان قلب زیر ساخت فناوری اطلاعات هر سازمانی در نظر گرفت. از زمان ارائه‌ی AD به همراه ویندوز 2000، این سرویس جایگاه ویژه‌ای برای مدیریت و ایمن‌سازی محیط‌های مبتنی بر سیستم عامل ویندوز به دست آورده است.

نقش AD در مدیریت سطوح دسترسی به منابع اطلاعاتی سازمان و مدیریت کاربران به شدت افزایش پیدا کرده است و از آنجا که سیستم عامل ویندوز به صورت پیش فرض ابزارها و امکانات پیشرفته‌ای برای مدیریت AD ارائه نمی‌دهد، بسیاری از مدیران IT و راهبران شبکه با چالش های زیادی در این زمینه روبرو هستند.

دسترسی غیرمجاز به AD، کلیدی جهت دسترسی به منابع اطلاعاتی و سایر سرویس‌ها و نرم‌افزارهای کاربردی سازمان است، لذا شما باید از راهکاری جامع و پیشرفته برای مدیریت، گزارش‌گیری و نظارت AD بهرمند باشید.

معماری برنا چگونه است؟

در شکل 1معماری کلان نرم‌افزار برنا نشان داده شده است.

شکل 1 معماری نرم‌افزار مدیریت اکتیور دایرکتوری برنا

با توجه به دیاگرام فوق:

    - کارشناسان IT  نیازی به دسترسی مستقیم به سرور دامین کنترلر و یا استفاده از ابزارهای پیش فرض سیستم عامل مانند ADUC نخواهند داشت. 

    - کارشناسان IT از طریق واسط کاربری تحت وب برنا و یا با استفاده از نرم افزار Android/IOS برنا به AD دسترسی خواهند داشت. 

    - دسترسی کارشناسان به دو روش کنترل می‌شود: 

        - سطح دسترسی بر اساس محدوده دامین و واحد سازمانی OU: برای مثال می‌توان مشخص کرد که کارشناس فقط اجازه‌ی تغییر رمز عبور و یا ایجاد کاربر در OU‌های به خصوصی را خواهد داشت.

        - کنترل مجوز بر اساس نوع عملیات: از جمله‌ این عملیات می‌توان به مواردی مانند حذف، ایجاد، تغییر عضویت در گروه ها و ...، اشاره کرد. برای مثال می‌تواند مشخس کرد که کارشناس اجازه حذف کاربر و یا جابجایی کاربر بین OU‌ها را نداشته باشد.

    - تمامی تغییرات صورت گرفته توسط سیستم لاگ گرفته می‌شود و به آسانی می‌توان فهمید کدام کارشناس چه تغییراتی را در دامین انجام داده است. 

    - با استفاده از برنا می‌توان به صورت متمرکز چندین دامین را مدیریت نمود.

 

کاهش بار کاری و افزایش دقت امور مدیریت کاربران

طبق نتایج  یک نظرسنجی که توسط گروه META صورت گرفته است، راهبران شبکه حدود یک سوم از وقت خود را صرف تغییر اکانت کاربران دامین می‌کنند. رسیدگی به امور مدیریت کاربران دامین فرآیندی وقت‌گیر است، و این یکی از دلایلی است که نرم افزار مدیریت AD برنا می‌تواند به شما کمک بزرگی نماید.

برای روشن‌تر شدن موضوع به سناریوهای زیر توجه کنید:

    - پیدا کردن همه‌ی کاربرانی که مدت زیادی است فعالیت نداشته‌اند و یا تا به حال به دامین لاگین نکرده‌اند و غیر فعال کردن اکانت آنها.

    - پیدا کردن و حذف کردن گروه‌هایی که عضو ندارد.

    - پیدا کردن کاربرانی که ساعات مجاز لاگین آنها طبق ساعات کاری سازمان نیست و تغییر ساعات مجاز لاگین آنها.

    - پیدا کردن کاربرانی که پسورد آنها به زودی منقضی می‌شود و تغییر رمز عبور و الزام آنها به تغییر رمز در ورود بعدی به شبکه.

    - مشاهده‌ی فهرستی از کاربران که اسکریپت لاگین ندارند و تخصیص اسکریپت به آنها.

    - مشاهده‌ی کاربرانی که آدرس ایمیل و شماره تماس ندارند و آپدیت آنها به صورت یکباره.

    - مشاهده‌ی کاربرانی که کامپیوترهای مجاز لاگین آنها تعیین نشده است و وارد کردن کامپیوترهای مجاز هر یک.

در همه سناریوهای فوق لازم است شما بتوانید یک Query برای جستجوی کاربران مورد نظر ایجاد نمایید و سپس تغییرات لازم را صورت دهید. نوشتن Queryهای متعدد با توجه به نیازهایی که در طول زمان به وجود می‌آیند فرآیندی سخت و زمان‌گیر است.

 

برنا چگونه موجب کاهش بار کاری و افزایش دقت امور مدیریت کاربران می‌شود؟

برنا می‌تواند شما را در موارد زیر یاری دهد:

    - شما نیاز به دانش نوشتن Queryهای جستجوی AD نخواهید داشت.

    - برنا به صورت پیش فرض دارای گزارش‌های از پیش آماده شده‌ی متعددی برای مشاهده کاربرانی است که لازم است تغییری روی آنها صورت پذیرد. بنابراین لازم نیست شما برای جستجوی کاربران مورد نظر خود Query بنویسید.

    - در همه‌ی گزارش‌های برنا، امکان تغییر اکانت کاربران به صورت گروهی وجود دارد.

  • شکل 2 داشبورد برنا و ورود به گزارش اکانت‌هایی که به تازگی فعالیت نداشته‌اند

 

برای مثال، در خصوص سناریوی غیرفعال‌سازی اکانت‌هایی که مدت زیادی است فعالیت نداشته‌اند، به شکل زیر عمل کنید:

    1. ابتدا، گزارش اکانت‌هایی که به تازگی فعالیت نداشته‌اند را انتخاب نمایید (شکل 2).

    2. سپس، مدت زمان مورد نظر خود را وارد کنید و روی دکمه‌ی ایجاد گزارش کلیک نمایید. در ادامه کاربران مورد نظر خود را انتخاب کنید و روی دکمه غیرفعال‌سازی در ریبون بالای گزارش کلیک کنید (شکل 3).

شکل 3 غیرفعال‌سازی اکانت‌هایی که به تازگی فعالیت نداشته‌اند

آسان‌سازی و استانداردسازی فرآیند ایجاد و حذف اکانت‌ها

ایجاد اکانت‌های جدید و ارائه دسترسی‌های لازم، کاری است که نیاز به دقت بالایی دارد و هر گونه اشتباه در انجام آن ممکن است امنیت سازمان را تهدید کند و منجر به دسترسی کاربر به منابع غیرمجاز شود. علاوه بر این زمان زیادی از واحد فناوری اطلاعات را به خود مشغول می‌سازد. به چالش‌ها و سوالات زیر توجه کنید:

    - در اولین مرحله‌ی ورود یک کاربر جدید به سازمان، این واحد منابع انسانی است که به اطلاعات فردی و سازمانی کاربر دسترسی دارد. چرا مسئولیت ایجاد کاربر جدید را به واحد منابع انسانی نسپاریم؟

        - بر روی سیستم کارشناسان منابع انسانی باید ابزار ADUC نصب گردد، که به خودی خود زمان‌بر است.

        - کارشناس منابع انسانی باید برای کار با ابزار ADUC آموزش ببیند. استفاده از این ابزار برای همه آسان نیست و بیشتر مناسب کارشناسان IT به نظر می‌رسد!

        - دسترسی کارشناس منابع انسانی باید به دقت محدود شود. این کار با امکانات پیش فرض ADUC سخت و پیچیده است و در طول زمان کنترل آن سخت است.

    - از لحاظ امنیتی انجام برخی تنظیمات و محدود سازی‌ها در زمان ایجاد کاربر جدید ضروری است، مانند محدودسازی ساعات مجاز لاگین و تعیین کامپیوترهای مجاز و عضویت در گروه‌های خاص. با استفاده از ابزارهای پیش فرض سیستم عامل حصول اطمینان از انجام این تنظیمات امکان‌پذیر نیست.

    - در بسیاری از مواقع، تعداد زیادی کاربر به صورت همزمان وارد سازمان می‌شوند، ایجاد اکانت به صورت یک به یک بسیار زمان‌گیر است و امکان اشتباه را بیشتر می‌کند.

    - در صورت قطع همکاری و یا اخراج یک فرد، لازم است دسترسی‌های او به سیستم و منابع سازمان سریعا قطع شود. در این شرایط بهتر است واحد منابع انسانی دسترسی لازم جهت غیرفعال‌سازی اکانت کاربران را داشته باشد.

    - آیا روشی برای تایید اطلاعات و دسترسی‌های کاربر قبل از آنکه اکانت او در دامین ایجاد شود توسط راهبر شبکه وجود دارد؟

 

 برنا چگونه موجب آسان‌سازی و استانداردسازی فرآیند ایجاد و حذف اکانت‌ها می‌شود؟

به کمک برنا، فرآیند ایجاد و حذف اکانت‌ها کاملا دگرگون خواهد شد و ضمن آسان‌سازی این روال، شما تسلط کاملی برای کنترل نحوه‌ی ایجاد اکانت طبق استاندارد‌های سازمان خواهید داشت. برخی از قابلیت‌های برنا در این خصوص به شرح زیر است:

    - استاندارد سازی مشخصات و تنظیمات اکانت‌ها و افزایش امنیت

        - الگوهای ایجاد کاربر در نرم افزار برنا همانند یک فرم‌ساز این امکان را فراهم می‌سازند تا فیلدهای لازم و مقادیر پیش فرض آنها را برای ایجاد اکانت جدید تعیین کنید. برای مثال می‌توانید ساعات مجاز لاگین و یا گروه‌های پیش فرض و نیز اسکریپت‌های لاگین را در الگو قرار دهید. بدین ترتیب اکانت‌هایی که توسط این الگو ساخته شوند دارای مشخصات پیش فرض تعیین شده خواهند بود (شکل 4).

شکل 4 صفحه‌ی ایجاد الگوی کاربری و امکان مشخص کردن فیلدهای ضروری

    - واگذاری مسئولیت ایجاد اکانت جدید به واحد منابع انسانی

        - نیازی به نصب ابزارهای سیستم عامل مانند ADUC بر روی سیستم کارشناسان منابع انسانی نخواهد بود.

        - با ورود کاربر جدید به سازمان واحد منابع انسانی می‌تواند اکانت او را در AD تعریف کند.

        - اگر لازم باشد می‌توانید طوری سیستم را تنظیم کنید که اکانت‌ها قبل از اینکه واقعا در دامین ایجاد شوند به تایید مدیر IT رسانده شوند. در این صورت مدیر IT می‌تواند اکانت ایجاد شده را بررسی و با یک کلیک اکانت را در دامین ایجاد کند.

        - با استفاده از الگوهایی که تعریف کرده‌اید تنطیمات پیش فرض برای همه‌ی اکانت‌ها اعمال خواهد شد. برای مثال ساعات مجاز لاگین، گروه‌های پیش فرض، اسکریپت‌ها و سایر مواردی که لازم است را می‌توانید با مقدار پیش‌فرض مقداردهی کنید و در عین حال امکان تغییر این مقادیر را به کاشناس ندهید (شکل 5).

    - کنترل آسان سطح دسترسی کارشناسان IT به AD و جلوگیری از اشتباهات

         - فرآیند ایجاد اکانت جدید کاری است که احتمال اشتباه در آن زیاد است. در بسیاری از مواقع نیز این اشتباهات می‌تواند منجر به دسترسی افراد به منابع و سیستم‌های غیر مجاز شود. در نرم افزار برنا شما می‌توانید سطح دسترسی کارشناسان را طوری محدود سازید که فقط بتوانند برخی از فیلدهای اصلی مانند مشخصات فردی را مقداردهی کنند و سایر تنظیمات مهم توسط سیستم اعمال شود. همچنین تعیین کنید که اکانت‌های ایجاد شده فقط در OUهای مجاز باشند و کارشناس نتواند در OUهایی اکانت ایجاد کند که از نظر امنیتی اهمیت دارند.

    - ایجاد چندین کاربر به صورت گروهی

        - با استفاده از امکان Import در برنا، شما می‌توانید به صورت یکباره چندین اکانت در AD ایجاد نمایید.

    - در صورت قطع همکاری و یا اخراج یک فرد از سازمان، واحد منابع انسانی در صورتی که مجوز لازم را ارائه داده باشید، می‌تواند اکانت مربوطه را غیر فعال و یا حذف نماید.

 

شکل  5 بخش حساب کاربری از صفحه‌ی ایجاد الگوی کاربری

تفویض اختیار امور مدیریت دامین به آسانی و آسودگی خاطر

برای مدیران فناوری اطلاعات و راهبران شبکه، نیاز به تفویض اختیارات مدیریت امور کاربران، کامپیوترها و گروه‌ها در AD امروزه بیش از پیش احساس می‌شود. ولیکن چالش‌ها و نگرانی‌هایی در این خصوص وجود دارند که در بسیاری از مواقع مانع انجام صحیح این کار می‌شود، از جمله:

    - زمانبر و پر دردسر: استفاده از ابزار پیش فرض سیستم عامل برای مدیریت مجوزها  (ACL Editor) اصلا دلچسب و کاربرپسند نبوده و دقت زیادی لازم است تا مجوز زیاد از حد به کسی داده نشود.

    - از دست دادن طاقت: در بسیاری از مواقع در پازل ACL Editor سردرگم خواهید شد و مدام این سوال را از خود خواهید پرسید که آیا افراد مورد نظر دسترسی بیش از نیاز ندارند؟ و یا اینکه یک مجوز خاص تا به حال به چه افرادی داده شده است؟

    - ارائه مجوز بالاتر به صورت غیر عمدی: در برخی از موارد به صورت غیرعمدی ممکن است مجوزهایی بالاتر از نیاز به فردی ارائه دهید. برای مثال ممکن است بخواهید به یک کارشناس مجوز ایجاد اکانت بدهید ولی کارشناس نباید بتواند کاربران را فعال و غیرفعال کند. در این مثال ACL هر دو دسترسی را به صورت پیش فرض ارائه می‌دهد و تنظیم دقیق سطح دسترسی نیاز به دقت زیادی دارد.

    - ترس و نگرانی از دست دادن کنترل: همانطور که گفته شد دسترسی به AD، شاه کلید دسترسی به منابع و سیستم‌های سازمان است، انسان به صورت پیش فرض سخت به دیگران اعتماد می‌کند، پس باید به طریقی مطمئن و کنترل شده تفویض اختیار کنید.

 

برنا چگونه موجب آسان‌سازی و افزایش اطمینان تفویض اختیار می‌شود؟

ویژگی‌های برنا در خصوص تفویض اختیار به ضرح زیر است:

    - عدم ارتقاء سطح دسترسی کارشناسان در AD

        - برنا به صورت یک واسط بین کارشناسان و AD است و دسترسی‌ها فقط در برنا اعمال می‌شود.

        - دسترسی‌ها و مجوزهای اکانت کارشناس در AD تغییری نخواهد کرد.

        - کارشناس به صورت مستقیم نمی‌تواند هیچ تغییری در AD صورت دهد.

    - عدم نیاز به  ACL Editor و پرهیز از پیچیدگی‌های آن

        - در برنا دقیقا می‌توانید وظیفه‌ای که مورد نظر دارید را انتخاب و تفویض اختیار کنید.

        - امکان تعریف "نقش" های مختلف در برنا، فرآیند تفویض اختیار را بسیار آسان و قابل کنترل می‌کند.

        - به آسانی و در هر زمان سطح دسترسی‌ها و مجوزهای هر کارشناس را مشاهده و تغییر دهید.

    - امکان کنترل محدوده قابل دسترسی هر کارشناس

        - در برنا می‌توانید محدوده قابل دسترسی هر کارشناس را بر اساس Domain/OU مشخص نمایید (شکل 7).

        - یک کارشناس می‌تواند نقش‌های متعددی در OUها و یا Domainهای مختلف داشته باشد.

        - برای مثال کارشناس می‌تواند رمز عبور کاربران برخی از OUها را تغییر دهد و یا کاربران جدید را فقط در یک OU یا Domain مشخص ایجاد نماید.

    - امکان مشاهده و کنترل تغییرات هر کارشناس در AD

        - همه تغییراتی که توسط کارشناسان رخ می‌دهد در برنا لاگ گرفته می‌شود.

        - به آسانی می‌توانید تغییراتی که هر کارشناس در AD انجام داده است را ردگیری و کنترل نمایید. این موضوع از نظر امنیتی بسیار با ارزش است.

        - برای مثال اینکه اکانت جدیدی ایجاد شده است و یا رمز عبور افرادی تغییر کرده است.

    - امکان تایید تغییرات قبل از اعمال در AD

        - با تعریف فرآیند تاییدیه، می‌توانید تعیین کنید که تغییرات مورد نظر کارشناس قبل از اعمال در AD به تایید شما رسانده شود.

        - امکان تایید و یا رد تغییرات.

  • شکل 6 مدیریت مجوزها در برنا

  • شکل 7 تعیین سطح دسترسی کارشناسان در برنا بر اساس دامین و OU

اتوماسیون امور نگه‌داری اکتیو دایرکتوری

انجام برخی امور نگه‌داری در AD باید به صورت منظم صورت پذیرد. این کارها اگر در زمان مناسب و به صورت منظم انجام نشود ممکن است اشکالاتی را ایجاد نماید، مانند غیر فعال سازی اکانت کاربرانی که مدت طولانی است به شبکه لاگین نکرده‌اند و یا حذف گروه‌هایی که فاقد عضو هستند.

در اغلب اوقات به دلیل مشغله زیاد راهبر شبکه و کارشناسان IT، امور نگه‌داری AD به صورت منظم انجام نمی‌شود. بنابراین لازم است از یک راهکار نرم افزاری مانند برنا برای این منظور استفاده نمود.

 

برنا چگونه به اتوماسیون امور مدیریت  AD کمک می‌کند؟

برنا دارای مکانیزمی برای انجام خودکار و زمانبندی شده‌ی برخی امور مدیریت AD است. با استفاده از این ویژگی شما می‌توانید انجام برخی از کارهای مهم نگه‌داری AD را به برنا بسپارید، برای مثال:

    - برنا می‌تواند به صورت خودکار، اکانت کاربرانی که مدت زیادی است به دامین لاگین نکرده اند (مدت را شما مشخص می‌کنید، برای مثال یک ماه) را غیر فعال کند.

    - برنا می‌تواند به صورت خودکار اکانت‌های غیر فعال را به یک OU به خصوص انتقال دهد.

    - برنا می‌تواند به صورت خودکار گروه‌هایی که دارای عضو نیستند را حذف کند و یا به یک OU به خصوص انتقال دهد.

    - برنا می‌تواند به صورت خودکاراکانت‌هایی که هیچ گاه استفاده نشده‌اند را حذف و یا غیرفعال کند.

    - برنا به صورت خودکار همه‌ی کاربرانی که کامپیوتر مجاز لاگین برای آنها تعریف نشده را به یک OU مشخص منتقل کند تا کارشناس IT به آسانی آنها را مشاهده و کامپیوترهای مجاز آنها را تعیین کند.

    - برنا می‌تواند به صورت خودکار رمز عبور اکانت‌هایی که زمان انقضاء رمز عبور آنها نزدیک است را تغییر دهد و کاربر را ملزم کند در ورود بعدی رمز عبور خود را تغییر دهد.

گزارش‌گیری از AD ضرورتی انکارناپذیر

بهرمندی از اطلاعات و گزارش‌های دقیق، در مدیریت و ایمن‌سازی زیر ساخت‌های فناوری اطلاعات نقشی حیاتی دارد. همانطور که قبلا ذکر شد، اکتیو دایرکتوری قلب شبکه شماست. بنابراین باید به آسانی و در هر زمان از وضعیت آن با خبر شوید. لذا برخورداری از ابزاری قدرتمند برای گزارش‌گیری از AD یکی از ضرورت‌هایی است که مدیران IT و راهبران شبکه با آن روبرو هستند.

برخی از چالش هایی که در امر گزارش‌‌گیری در AD وجود دارند عبارتند از:

    - دردسرهای نوشتن Query: از آنجا که به صورت پیش فرض ابزار مناسبی برای گزارش‌گیری ازAD  توسط سیستم عامل ارائه نشده است، برای هر نوع گزارش لازم است یک Query جدید نوشته شود که امری وقت‌گیر و سخت است.

    - نیاز به دانش اسکریپت نویسی سطح بالا: علی رغم اینکه نوشتن اسکریپت برای گزارش‌های ساده می‌تواند جالب  و سرگرم کننده باشد، ولی وقتی گزارش مورد نظر پیچیده باشد، این کار می‌تواند بسیار کلافه‌کننده و طاقت‌فرسا شود.

     - عدم پیش بینی نیازهای گزارش گیری: شما نمی‌توانید حدس بزنید که در روزهای آینده به چه نوع گزارشی نیاز دارید! و فکر اینکه مجدد لازم شود برای پی‌بردن به موضوع به خصوصی Query جدیدی بنویسید کمی اذیت کننده است.

    - گزارش گیری از چند دامین مختلف: اگر شما بیش از یک دامین داشته باشید، پس امور گزارش گیری سخت تر هم می‌شود!

برنا چگونه موجب تسهیل و تسریع گزارش‌گیری از AD می‌شود؟

با استفاده از برنا، گزارش‌گیری از AD تجربه‌ای متفاوت و دلچسب خواهد بود. بیش از 40 عنوان گزارش از پیش آماده شده در برنا به شما این امکان را می‌دهد تا به آسانی و تنها با یک کلیک به اطلاعات مورد نظر خود دسترسی داشته باشید، از جمله امکانات گزارش گیری AD می‌توان به موارد زیر اشاره نمود:

    - بیش از 40 عنوان گزارش از پیش آماده شده، با یک کلیک اطلاعات مربوطه را در اختیار شما قرار می‌دهد.

    - امکان حذف و اضافه ستون‌های گزارش برای دسترسی به داده های مورد نظر (شکل 8).

    - امکان فیلتر کردن گزارش بر اساس Domain و OU.

    - امکان ارائه مجوز گزارش‌های دلخواه به کارشناسان IT و محدود کردن سطح دسترسی بر اساس Domain و OU.

    - امکان تغییر آبجکت‌های خروجی گزارش از طریق دکمه‌های ریبون (شکل 9)، برای مثال انتخاب یک اکانت و غیر فعال کردن آن.

    - امکان استخراج گزارش‌ها در قالب فایل اکسل.

شکل  8 پنجره‌ی مشخص کردن ستون‌های گزارش

شکل  9 ریبون و امکان اعمال تغییرات در تمامی گزارشات

 

خواندن 118 دفعه

ayande.jpgdarya-navardi.jpgeghtesad-novin.jpgfolad-khozestan.jpggoldiran.jpggorgan.jpgirna.jpgmarkazi.jpgmaskan.jpgnosazi.jpgpasargad.jpgpetroshimi.jpgrefah.jpgrightel.jpgsarmayeh.jpgsepah.jpgshoraye-ali.jpgtejarat.jpg
opportunity job