آشنایی با اکتیودایرکتوری

آشنایی با اکتیودایرکتوری

آشنایی با اکتیو دایرکتوری

در این مقاله انواع اشیاء مانند کاربران و کامپیوترها را در اکتیو دایرکتوری بیان کرده و ساختار ذخیره‌سازی آن را شرح خواهیم داد. همچنین اجزای ساختاری AD مانند Tree، Forest، Domain و Trust ها را بیان می‌نماییم.پس از آن به بررسی گروه در اکتیو دایرکتوری، امنیت و تعریف سطح دسترسی های آن می‌پردازیم.

 

اکتیودایرکتوری چیست؟

اکتیو دایرکتوری (AD) یک سرویس برای مدیریت منابع شبکه است که توسط شرکت مایکروسافت و به منظور کار در محیط‌های ویندوزی تهیه شده است. هدف اصلی آن فراهم کردن سرویسی متمرکز برای احراز هویت (Authentication) و تعیین مجوزها (Authorization) برای کامپیوترهای ویندوزی می‌باشد. اکتیودایرکتوری همچنین امکان تعیین سیاست‌ها، نصب نرم‌افزارها و اعمال به‌روز رسانی‌های مهم را برای مدیران شبکه (Administrator) فراهم می‌کند.

کارکرد اساسی دیگر اکتیو دایرکتوری، ذخیره‌سازی اطلاعات و تنظیمات شبکه به صورت متمرکز است. یک پایگاه‌داده‌ی اکتیودایرکتوری می‌تواند شامل چند صد شئ تا چند میلیون شئ باشد. هر چند امروزه، بسیاری از سازمان‌ها از ابزارهای مدیریت اکتیو دایرکتوری مانند برنا استفاده می‌کنند، با این وجود دانش و تخصص کامل در مورد اکتیو دایرکتوری برای ادمین‌های شبکه ضروری است.

 

معرفی اشیا در اکتیو دایرکتوری

داده‌هایی که در اکتیودایرکتوری ذخیره می‌شوند، مانند اطلاعات کاربران، تماس‌ها، پرینترها، سرورها، پایگاه‌های داده، گروه‌ها، کامپیوترها، پوشه‌ها و سیاست‌های امنیتی، همه تحت عنوان اشیا‌ ذخیره می‌شوند. به طور کلی، اشیاء در اکتیودایرکتوری به سه دسته اصلی تقسیم می‌شوند:

1- منابع (مانند پرینترها) 2- سرویس‌ها (مانند ایمیل) 3- کاربران (که شامل کاربران، اطلاعات تماس و گروه‌ها می‌شود).
علاوه‌بر ذخیره‌سازی این اشیاء، اکتیودایرکتوری امکاناتی را برای سازماندهی کردن و تعیین دسترسی به این اشیاء فراهم می‌کند.

هر شئ که در اکتیودایرکتوری ذخیره می‌شود نمایان‌گر یک هویت (مانند کاربر، کامپیوتر، پرینتر، گروه و …) است که شامل مجموعه‌ای از صفات (Attribute) می‌باشد. هر شئ در اکتیودایرکتوری با استفاده از نام و مجموعه صفاتش به طور یکتا قابل شناسایی است. ویژگی‌ها و صفاتی که یک شئ می‌تواند داشته باشد به وسیله‌ی اسکیما (Schema) تعریف می‌شود که مشخص‌کننده‌ی نوع شئ ذخیره‌شونده در اکتیودایرکتوری نیز می‌باشد. اسکیما در حقیقت تمام اشیائی که می‌توانند در اکتیودایرکتوری ساخته شوند را به همراه صفات هر یک از این اشیاء تعریف می‌کند.

صفات اشیاء در اکتیودایرکتوری در حقیقت همان ویژگی‌های آنها می‌باشند. برای مثال، صفات مربوط به یک حساب کاربری شامل نام، نام خانوادگی، نام کاربر (که با آن لاگین انجام می‌شود) می‌باشد، در حالی که صفات یک کامپیوتر می‌تواند شامل مواردی متفاوت مانند نام کامپیوتر و توضیحات آن باشد. در اکتیو دایرکتوری صفات در پنجره‌ی ویژگی‌های (Properties) قابل دسترس است، اما ساختار چیدمان آن کار با آن را سخت کرده است. اغلب، سازمان‌ها بر اساس نیازشان، برخی صفات را اجباری و برخی را اختیاری می‌دانند. اما در خود اکتیو دایرکتوری نمی‌توان به سادگی پنجره‌ی صفات را به گونه‌ای که نیاز سازمان‌ها را برآورده کتد تغییر داد. از این رو اغلب سازمان‌‎ها از نرم‌افزارهایی مانند برنا برای ایجاد فرم‌های ساخت و تغییر کاربران استفاده می‌کنند.

آشنایی با ساختار اکتیودایرکتوری

حال که اشیاء را در اکتیو دایرکتوری شناختید، نوبت به آن می‌رسد که با چگونگی سازمان‌ دهی این اشیاء در اکتیودایرکتوری آشنا شوید. هر چند می‌توان تمام اشیاء را همتا و هم‌سطح یگدیگر دانست، این امر چندان هم بهینه نیست، زیرا که امکان گروه‌بندی اشیاء بر اساس ویژگی‌های مشترک را به ما ‌نمی‌دهد-برای مثال دسته‌بندی اشیاء بر اساس کسی که آنها را مدیریت می‌کند.
در حقیقت، دلیل اصلی پیدایش ساختار کنونی اکتیو دایرکتوری روشی است که با آن سازمان‌ های IT تمایل به مدیریت اکتیو دایرکتوری (مدل مدیریتی) دارند. در شکل 1 شمای کلی ساختار اکتیو دایرکتوری نمایش داده شده است.

ساختار اکتیودایرکتوری

معرفی Domain ،Tree و Forest در ساختار اکتیو دایرکتوری

در این بخش به سه جزء اساسی ساختار اکتیو دایرکتوری یعنی domain ،tree و forest می‌پردازیم.

 

دامین (Domain) ساختار اکتیو دایرکتوری

اصلی‌ترین جزء هر اکتیو دایرکتوری domain می‌باشد. هر نمونه از اکتیو دایرکتوری که نصب می‌شود حداقل شامل یک شئ domain می‌باشد. شما می‌توانید domain را همانند مرز مدیریتی تصور کنید که بر اساس آن هر domain مجموعه مدیران خود را دارد. دامین‌ها یا همان domainها در مجموعه سرورهایی قرار می‌گیرند که به آنها Domain Controller (DC) می‌گویند.

 

Tree در AD

اکتیو دایرکتوری از tree به منظور دسته‌بندی گروه‌ها به صورت سلسله‌مراتبی استفاده می‌نماید که در آن دامین‌ها به صورت فرزند یا اولاد نگهداری می‌شوند. در اکتیو دایرکتوری ساختار نامگذاری به صورت سلسله‌مراتبی پیاده‌سازی شده است، به این معنی که نام فرزند، الحاقی از نام آن و نام والد آن است (که به آن FQDN یا Fully Qualified Domain Name می‌گویند). برای مثال اگر نام فرزند Tehran و نام والد آن danapardaz.net باشد، نام FQDN فرزند برابر با Tehran.danapardaz.net خواهد بود.

 

ساختار Forest در اکتیودایرکتوری

یک forest مجموعه‌ای از یک یا چند tree یا درخت اکتیو دایرکتوری است، که به صورت همتا در نظر گرفته شده و دارای رابطه‌ی trust از نوع دوطرفه‌ی متعدی (Transitive) است (مفاهیم مربوط به trust در ادامه توضیح داده خواهند شد). تمام دامین‌های موجود در یک forest اسکیمای مشترک و یکسانی دارند که موجب ایجاد یک فضای نامگذاری پیوسته و سازگار می‌شود. اولین دامین در هر forest دامین ریشه (Root domain) نامیده می‌شود. اکتیو دایرکتوری همچنین یک پایگاه‌داده‌ی یکسان و مخصوص را بین تمام دامین‌ها به اشتراک می‌گذارد که هدف آن فراهم کردن امکان جستجوی سریع و بهینه‌ی تمام اشیاء است. به این پایگاه‌داده Global Catalog می‌گویند.

برنا یک راه حل جامع برای مدیریت و گزارش گیری از اکتیو دایرکتوری

واحد‌های سازمانی (Organization Unit) در مقابل Container

Container

به زبان ساده، Container اشیائی هستند که خود در برگیرنده‌ی اشیائی دیگر هستند. هر دامین شامل مجموعه‌ای پیش‌فرض از container ها می‌باشد که در زیر به برخی از آنها اشاره شده است:

  • Built-in: شامل تعدادی گروه پیش‎فرض می‌باشد که در هر دامین وجود دارد.
  • Computer: شامل تمام کامپیوترهایی می‌باشد که عضو دامین هستند.
  • Domain controllers: شامل سرور‌های DC که در این دامین هستند.
  • Foreign security principles: نشان‌دهنده‎‌ی روابط trust با این دامین است.
  • Users: شامل حساب‌های کاربری تمام کاربران این دامین است.

واحد سازمانی (OU)

واحد سازمانی که به اختصار به آن OU نیز می‌گویند مشابه با container است با این تفاوت که OU ها توسط مدیر شبکه و بسته به نیاز سازمان ساخته می‌شوند. به عبارت دیگر، OU ها خود container هایی هستند که بسته به نیاز و ساختار منطقی گروه‌بندی در یک سازمان ساخته می‌شوند.

به عنوان یک مدیر شبکه، شما ممکن است که ساختاری از OU ها را ایجاد کنید که نمایانگر ساختار سازمانی شرکت شما باشد. برای مثال شما می‌توانید یک OU برای هر دپارتمان (مانند مالی، پشتیبانی، فروش و …) ایجاد کنید.

اشیاء OU خود می‌توانند شامل OUهای دیگر نیز باشند که به آن به اصطلاح OUهای تودرتو (Nesting OUs) گویند. در طراحی اکتیو دایرکتوری، توصیه شده است که در صورت امکان کمترین تعداد دامین ساخته شود و هر جا نیاز به ساختار سلسله‌مراتبی برای اعمال سیاست‌ها و مدیریت بود از OUهای تودرتو استفاده شود.

OU یکی از رایج‌ترین اشیاء برای تعیین سیاست‌های گروهی (Group Policy)می‌باشد (هر چند حتی در سطح دامین یا forest هم می‌توان سیاست گروهی اعمال نمود). سیاست‌ها گروهی، مجموعه‌ای از سیاست‌ها و قوانین مشخص هستند که می‌توان توسط اکتیو دایرکتوری به اشیاء (خصوصاً کامپیوترها، کاربران و OUها) اعمال کرد. برای مثال با استفاده از سیاست‌های گروهی، می‌توان کاربرانی را که در یک OU‌ مشخص قرار دارند موظف کرد تا رمز عبورشان را هر 30 روز عوض کنند. دلیل اهمیت OU ها در این است که می‌توان بر اساس ساختار سازمانی مدیریت را به مدیران جزءتر تفویض کرد به این ترتیب که حوزه مدیریت آنها به OU مربوط به خودشان محدود می‌شود.

 

تعریف Trust در اکتیو دایرکتوری

Trustها آخرین جزء اصلی اکتیودایرکتوری هستند که در این مقاله به آن می‌پردازیم. Trustها در حقیقت روابط بین دامین‌ها را مشخص می‌کنند.

Trust های متعدی در اکتیودایرکتوری

به رابطه‌ای تعددی گویند که آن رابطه به خارج از دو طرف رابطه قابل گسترش باشد. به عبارت دیگر اگر بین دامین‌های A و B و همچنین دامین‌های B و C رابطه‌ی trust وجود داشته باشد، در صورت متعدی بودن این دو رابطه، رابطه‌ی trust بین A و C نیز به طور خودکار وجود خواهد داشت.

هر بار که یک دامین جدید در forest ایجاد می‌شود، یک رابطه‌ی دوطرفه‌ و متعدی بین دامین جدید و والد آن ایجاد می‌شود. در نتیجه‌ی این رابطه‌ی متعدی، در صورت ایجاد یک دامین جدید، این دامین رابطه‌ای با تمام دامین‌هایی که در سلسله‌مرتب forest در سطح بالاتری از آن قرار دارند خواهد داشت.

درخواست‌های احراز هویت نیز از این روابط تاثیر می‌پذیرند. بدین ترتیب، کاربرانی که در دامین‌های دیگری قرار دارند ولی بین دو دامین رابطه‌ی trust وجود دارد می‌توانند در آن دامین نیز احراز هویت شوند.

دو نوع رابطه‌ی trust در اکتیودایرکتوری وجود دارد:

  • Shortcut trust: این نوع رابطه‌ بین دامین‌های موجود در یک forest شکل می‌گیرد و برای بیان رابطه‌ به صورت سر راست و مختصر در ساختارهای پیچیده به کار می‌رود.
  • Forest trust: این رابطه بین دو forest مجزا تشکیل می‌شود و می‌تواند یک‌طرفه یا دوطرفه باشد. به کمک این رابطه کاربران دو forest می‌توانند به forest دیگر متصل شوند و با حساب کاربری خود در forest دیگر احراز هویت شوند.

Trust های نامتعدی در اکتیو دایرکتوری

یک رابطه‌ی غیرمعتدی، برخلاف رابطه‌ی متعدی، قابل گسترش به روابط دیگر نیست. این رابطه هم می‌تواند یک‌طرفه باشد و هم می‌تواند دوطرفه باشد. توجه داشته باشید که به طور پیش‌فرض روابط غیرمتعدی یک طرفه هستند، اما می‌توان با ساخت دو رابطه‌ی یک‌طرفه، یک رابطه‌ی دوطرفه ساخت.

همان‌طور که در این مقاله دیدید، ساختار اکتیودایرکتوری بسیار پیچیده است و مدیریت بی نقص آن نیازمند دانشی بسیار بالا و تجربه‌ی کافی است. هر چند داشتن دانش بالا برای راه‌ اندازی و مدیریت اکتیو دایرکتوری ضروری است، بسیاری از کارهای ساده و در عین حال وقت گیر (مانند ساخت حساب کاربری یا تغییر رمز عبور) نیاز به دانش فنی ندارند. امروزه، بسیاری از سازمان‌های بزرگ از ابزارها و نرم‌افزارهای کمکی مانند، نرم‌افزار مدیریت AD برنا، برای ساده‌سازی اعمال مرتبط با AD و همچنین اطمینان خاطر از امینت آن استفاده می‌کنند.

 

گروه‌ در اکتیودایرکتوری به چه معناست؟

گروه‌ در اکتیودایرکتوری چیست؟

در اکتیودایرکتوری، یک گروه شامل مجموعه‌ای از حساب‌های کاربری، کامپیوترها و حتی دیگر گروه‌ها است که می‌توان به آن به صورت یک مجموعه‌ی واحد نگاه کرد تا برخی امور مدیریتی آسان‌تر شود. اشیائی که متعلق به یک گروه هستند را اعضای گروه (Group Member) می‌گویند. به کمک گروه‌ها، مدیر شبکه می‌تواند مجوزهای دسترسی (Permission) را به یک گروه اعمال کند، به جای آنکه مجوزها را برای تک‌تک افراد تعریف کند که بسیار غیرکارامد خواهد بود.

گروه‌ها می‌توانند هم به صورت محلی بر روی یک کامپیوتر خاص تعریف شوند (که در این صورت فقط آن کامپیوتر، گروه را مشاهده خواهد کرد) و یا در دامین تعریف شوند. گروه‌های اکتیو دایرکتوری خود اشیائی هستند که درون یک container یا OU تعریف شده‌اند. اکتیو دایرکتوری، علاوه بر آنکه مجموعه‌ای از گروه‌های پیش‌فرض را پس از نصب مهیا می‌سازد، امکان ساخت گروه‌های جدید بر اساس نیاز مدیران را نیز فراهم می‌کند.

شما می‌توانید یک گروه را عضو گروهی دیگر کنید، که به آن گروه تو در تو (Nested Group) می‌گویند. این امر، امکان تخصیص مجوز دسترسی به مجموعه‌ای از گروه‌ها را توسط یک گروه فراهم می‌کند. برای مثال فرض کنید که می‌خواهید به گروه‌های HR و مالی که شامل کاربران دپارتمان‌های مربوطه می‌باشند مجوز دسترسی به پوشه‌ Shared files را فراهم کنید. شما می‌توانید یک گروه دیگر به نام SharedFilesGroup ایجاد کنید و سپس این دو گروه (یا هر گروهی که نیاز به دسترسی به این پوشه دارد) را عضو آن کنید. در انتها، تنها کافیست که به این گروه مجوز دسترسی به این پوشه را دهید و در نتیجه‌، تمام اعضای آن مجوز لازم را دریافت خواهند کرد.

 

تفاوت گروه‌ با Organization Unit

هر چند که گروه و OU شامل مجموعه‌ای از اشیاء (مانند حساب‌های کاربری، کامپیوترهای و …) هستند، کارکرد و استفاده‌ی آنها کامل با هم متفاوت است و در عمل نمی‌توان از یکی به جای دیگری استفاده کرد. برای روشن شدن این موضوع باید تفاوت کاربرد آنها را به روشنی درک کنید.

هدف اصلی از گروه‌ها در ساختار اکتیودایرکتوری آسان‌سازی فرایند تخصیص مجوز دسترسی است. این در حالی است که مفهوم OU برای کاربردی کاملاً متفاوت پدیدار شده است. قبل از بیان کابرد OU ابتدا بهتر است تفاوت‌های اصلی آن را با گروه‌ها بدانید. OU سه تفاوت عمده با گروه دارد که به قرار زیر است:

  • OU ها دارای SID نیستند (SID یک شماره یکتا است که برای کنترل و مدیریت اشیاء در اکتیودایرکتوری توسط خود اکتیودایرکتوری به صورت خودکار به اشیاء تخصیص داده می‌شود).
  • OUها را نمی‌توان در لیست‌های کنترل دسترسی (Access Control List) که برای تخصیص مجوزها استفاده می‌شوند قرار داد.
  • OUها را نمی‌توان درون گروه‌ها قرار داد و یا آنها را عضو گروه‌ها کرد.

با وجود این محدودیت‌ ها، اساساً کاربرد Organization Unit چیست؟ کاربرد اصلی OU در سازمان‌دهی و مدیریت اشیاء اکتیودایرکتوری است. برای مثال، برخی از کاربردهای OU ها به شرح زیرند:

  • تفویض اختیار امور مدیریتی به اشیاء موجود در یک OU.
  • اعمال تنظیمات سیاست‌ها گروهی (GPO) به یک Organization Unit (توجه داشته باشید که امکان اعمال یک GPO به یک گروه، یا یک کامپیوتر و حساب‌کاربری وجود ندارد و حتما باید به یک OU اعمال شود).

بنابراین، گروه‌ها و Organization Unit ها با وجود آنکه مفاهیم به ظاهر مشابهی هستند و هر دو شامل مجموعه‌ای از دیگر اشیاء هستند، در کاربرد با یکدیگر کاملاً متفاوت هستند و محدودیت‌های هر یک ناشی از کاربرد و خواستگاه آنها می‌باشد.

 

انواع گروه‌ ها در اکتیو دایرکتوری

در اکتیودایرکتوری، گروه‌ها بر اساس کاربرد به دو دسته تقسیم می‌شوند: گروه‌های distribution و گروه‌های security. از گروه‌های distribution برای ساخت لیست توزیع ایمیل و از گروه‌های security برای تخصیص مجوز‌های و اشتراک منابع استفاده می‌شود.

 

1- معرفی گروه‌ های distribution

این گروه‌ها برای دسته‌بندی کاربران و فراهم کردن لیستی از کاربران است تا بتوان به سادگی به تمام اعضای آنها ایمیل زد (به کمک Microsoft Exchange Server). این گروه‌ها تنها برای ارسال ایمیل کاربرد دارند و امکان تعیین مجوز دسترسی برای آنها وجود ندارد. توجه داشته باشید که گاهاً از عبارت لیست distribution به جای گروه distribution استفاده می‌شود، خصوصاً در بین مدیران سرور Exchange.

 

2- آشنایی با گروه‌ های security در AD

همان‌طور که به آن اشاره شد، از گروه‌های security برای تخصیص مجوز دسترسی استفاده می‌شود. به طور عمده از گروه‌‌ها برای دو کاربرد زیر استفاده می‌شود:

 

1- تعیین سطح دسترسی کاربران:

سطح دسترسی کاربران در گروه‌های security مشخص می‌کند که کاربران موجود در آن گروه در آن دامین یا forest امکان انجام چه کارهایی را دارند. این سطوح دسترسی به طور پیش‌فرض برای گروه‌های از پیش ساخته‌شده‌ی اکتیودایرکتوری مشخص شده است تا به مدیران شبکه امکان مشخص کردن وظیفه و سطح دسترسی هر کاربر به سادگی داده شود.

برای مثال، کاربری که عضو گروه از پیش ساخته‌شده‌ی Backup Operator است امکان پشتیبان‌گیری و بازگرداندن فایل‌ها و پوشه‌های موجود در هر DC را دارد. بنابراین، تنها با عضو کردن یک کاربر به یک گروه می‌توان سطح دسترسی بالایی را برای آن مشخص کرد. از این رو تعیین سطح دسترسی کاربران باید با دقت و توجه به نکات امنیتی صورت گیرد.

 

2. تعیین مجوز دسترسی به منابع:

مجوز‌های دسترسی را می‌توان به گروه‌های security تخصیص داد تا امکان دسترسی به منابع اشتراکی را داشته باشند. این مجوز دسترسی با سطح دسترسی متفاوت است زیرا سطح دسترسی در سطح کل دامین اعمال می‌شود، حال آنکه مجوز دسترسی تنها به یک شئ خاص مانند پوشه یا فایل اعمال می‌شود. مجوزهای دسترسی می‌تواند نوع دسترسی را نیز مشخص کند. برای مثال مجوز Read-only تنها امکان مشاهده‌ی فایل‌ها را به کاربر می‌دهد، حال آنکه مجوز Full control تمام مجوز‌ها از جمله خواندن و تغییر و پاک کردن فایل‌ها را به کاربر می‌دهد.

توجه داشته باشید که از دیدگاه مدیریتی، گروه‌های security سربار عملیات را بسیار کاهش می‌دهند. برای مثال، به کمک گروه‌ها می‌توان به جای آنکه تمام کاربران واحد HR را در لیست مجوز‌های تمام پوشه‌های مورد نظر اضافه کرد، تنها گروه مربوط به کاربران HR را در این لیست افزود. از گروه‌های security می‌توان به عنوان گروه‌های distribution به منظور ارسال ایمیل نیز استفاده نمود، اما بالعکس آن ممکن نیست.

با وجود مزایای اکتیو دایرکتوری در خصوص گروه‌ها و دیگر موارد، امکان گزارش‌گیری در اکتیو دایرکتوری نه تنها در مورد گروه‌ ها، بلکه در مورد موارد دیگری مانند کاربران و کامپیوترها نیز بسیار ناکارآمد است. اغلب بدون داشتن دانش اسکریپت نویسی تهیه‌ گزارش غیر ممکن خواهد بود. برای مثال بدست آوردن لیست کاربرانی که عضو هیچ گروهی نیستند با ابزارهای پیش‌فرض AD غیرممکن است. از این رو در سازمان‌های بزرگ اغلب از ابزارهای مدیریت AD  که گزارش نیز تهیه می‌کنند استفاده می‌شود.

 

تقسیم‌بندی گروه ها بر اساس حوزه (Scope) کارکرد

مستقل از آنکه یک گروه distribution باشد یا security، هر گروه از نظر حوزه‌ی دسترسی به کاربران و تعیین دسترسی می‌تواند شامل یکی از حوزه‌های زیر باشد:

Universal Group: این نوع گروه می‌تواند شامل کاربران، گروه‌ها و کامپیوترهای موجود در کل forest باشد. همچنین این گروه می‌تواند برای تعیین مجوز دسترسی به منابع موجود در هر قسمت از forest استفاده شود. هر چند دسترس‌پذیری این گروه در تمام forest کار مدیریتی را آسان می‌کند، اما از آنجا که تغییراتی که مرتبط با این گروه‌ها می‌باشد باید در کل شبکه اعلام شوند، استفاده بی مورد از این گروه‌ها باعث افزایش ترافیک شبکه می‌شود.

Global Group: این گروه تنها می‌تواند در دامین خود و دامین‌هایی که با آن رابطه‌ی trust دارند مورد استفاده قرار گیرد. این گروه تنها می‌‎تواند شامل کاربران، کامپیوترها و گروه‌های موجود در دامین خود باشد و نمی‌تواند گروه Universal را به عنوان عضو بپذیرد.

Domain Local Group: این گروه، بر خلاف گروه global، می‌تواند شامل گروه universal، global و دیگر گروه‌های domain local باشد. این گروه همچنین می‌تواند شامل کاربران و کامپیوترهای هر دامین در forest باشد. با این وجود، این گروه تنها می‌تواند حق دسترسی به منابعی را بدهد که در همان دامین وجود دارد.

واحد‌های سازمانی (Organization Unit) در مقابل Container در اکتیو دایرکتوری

بررسی سطح امنیت اکتیودایرکتوری

سرویس اکتیو دایرکتوری وظایف بسیار قابل توجهی را در فراهم کردن اصول امنیتی در شبکه به عهده دارد. از میان این وظایف، احراز هویت و تعیین مجوزها را می‌توان نام برد که اکتیودایرکتوری بسیار موثر و کارامد آنها را مدیریت می‌کند. در این بخش، دیگر مسائل امنیتی مانند access token و لیست کنترل دسترسی (ACL) را نیز به اختصار بیان خواهیم کرد. توجه داشته باشید که بیان لیست کاملی از موارد امنیتی در خصوص اکتیو دایرکتوری خود کتابی حجیم خواهد شد. برای آشنایی با موارد پر اهمیت در خصوص امنیت اکتیو دایرکتوری می‌توانید به مقاله ارتقاء امنیت Active Directory مراجعه کنید.

 

احراز هویت در AD

اکتیو دایرکتوری وظیفه بررسی صحت اطلاعات ورودی برای login که شامل نام کاربری و رمز عبور می‌شود را به عهده دارد. یکی از قابلیت‌های مهم اکتیودایرکتوری Single Sign On یا SSO می‌باشد که به واسطه‌ی آن کاربر نیاز نیست به هنگام اتصال به هر منبع شبکه‌ای یا نرم‌افزاری اطلاعات کاربری خود را مجدداً وارد نماید (در صورتی که یک بار با موفقیت به سیستم وارد شده باشد).

 

تعیین مجوزهای کاربر

احراز هویت تنها به فرایندی که شناسایی کاربران را بررسی می‌کند گفته می‌شود. حال آنکه بررسی اینکه آن کاربر به چه منابعی دسترسی دارد و سطح دسترسی آن چه میزان می‌باشد به عهده بخش تعیین مجوزها می‌باشد. در حقیقت، پس از احراز هویت، یک کاربر بالقوه امکان دسترسی به تمام منابع را دارد. اما آنجه که کاربران را محدود می‌سازد مجوزهای و سطح دسترسی‌های تعیین شده می‌باشد.

 

Access Token

هر بار که یک کاربر موفق به احراز هویت و ورود به سیستم می‌شود، ویندوز یک access token برای آن ایجاد می‌کند. از این token، بعدها در فرایند تعیین مجوزها استفاده می‌شود. این token شامل اطلاعات زیر می‌باشد:

SID کاربر: هر کاربر یک شماره‌ی یکتا دارد که اکتیودایرکتوری به کمک آن کاربران را می‌شناسد (نه از روی نام کاربری).

SID گروه‌ها: مانند کاربران، گروه‌ها نیز یک شماره‌ی شناسایی یکتا دارند. Token شامل لیستی از SID گروه‌هایی که کاربر عضو آن است می‌باشد.

سطح دسترسی و مجوز‌های کاربر: تمام مجوزها و سطوح دسترسی که به کاربر یا گروه‌های عضو تخصیص داده شده است نیز در token ذخیره می‌شود.

هنگامی که یک کاربر می‌خواهد به یک شئ دسترسی داشته باشد، ویندوز SIDهای موجود در access token را با لیست کنترل دسترسی آن شئ مقایسه کرده و بر اساس آن می‌تواند میزان دسترسی کاربر را متوجه شود.

 

لیست‌ های کنترل دسترسی (ACLs)

هر شئ در اکتیودایرکتوری شامل دو لیست کنترل دسترسی مجزا می‌باشد که کاربرد متفاوتی دارند. این دو لیست کنترل دسترسی به قرار زیر می‌باشند:

Discretionary Access Control List (DACL): این لیست شامل گروه‌ها، کامپیوترها و کاربرانی است که دسترسی یا عدم دسترسی برای آنها تنظیم شده است.

System Access Control List (SACL): این لیست مشخص کننده‌ی آن است که از چه رویدادهایی و برای چه کاربران یا گروهایی در اکتیودایرکتوری log برداشته شود.

در این مقاله با گروه‌ها و امنیت در AD آشنا شدید. مدیریت گروه‌ها و OUها با بزارهای پیش‌فرض ویندوز بسیار پیچیده و ناکارآمد است. موارد مرتبط با آنها مانند تفویض اخنیار و تنظیم دسترسی‌ها نیز بسیار دشوار است خصوصاً اگر سازمانی که از آن استفاده می‌کند نسبتاً بزرگ باشد. از این رو معمولاً مدیران فناوری اطلاعات تمایل به استفاده از نرم‌افزارهای مطمئنی مانند برنا برای مدیریت اکتیودایرکتوری استفاده کنند.

برای امتیاز به این نوشته کلیک کنید!
[کل: 2 میانگین: 5]
اشتراک گذاری در facebook
اشتراک گذاری در twitter
اشتراک گذاری در linkedin
اشتراک گذاری در pinterest
اشتراک گذاری در whatsapp
اشتراک گذاری در email
اسکرول به بالا