በመጠቀም የመግቢያ ሙከራ አድርጌያለሁ እና የተጠቃሚ መረጃን ከActive Directory (ከዚህ በኋላ AD ይባላል) ለማውጣት ተጠቅሞበታል። በወቅቱ፣ የእኔ ትኩረት የደህንነት ቡድን አባልነት መረጃን መሰብሰብ እና ያንን መረጃ ወደ አውታረ መረቡ ለማሰስ መጠቀም ነበር። ያም ሆነ ይህ, AD ሚስጥራዊነት ያለው የሰራተኛ ውሂብ ይዟል, አንዳንዶቹ በእውነቱ በድርጅቱ ውስጥ ላሉ ሰዎች ሁሉ ተደራሽ መሆን የለባቸውም. በእውነቱ, በዊንዶውስ የፋይል ስርዓቶች ውስጥ ተመጣጣኝ አለ , ይህም በሁለቱም ውስጣዊ እና ውጫዊ አጥቂዎች ሊጠቀሙበት ይችላሉ.
ነገር ግን ስለ ግላዊነት ጉዳዮች እና እንዴት ማስተካከል እንዳለብን ከመናገራችን በፊት፣ በ AD ውስጥ የተከማቸውን መረጃ እንመልከት።
ንቁ ዳይሬክቶሪ is the corporate Facebook
ግን በዚህ ጉዳይ ላይ, ከሁሉም ሰው ጋር አስቀድመው ጓደኝነት ፈጥረዋል! ስለ እርስዎ የስራ ባልደረቦችዎ ተወዳጅ ፊልሞች፣ መጽሃፎች ወይም ምግብ ቤቶች ላያውቁ ይችላሉ፣ ነገር ግን AD ሚስጥራዊነት ያለው የእውቂያ መረጃ ይዟል።
መረጃ እና ሌሎች መስኮች በጠላፊዎች እና ሌላው ቀርቶ ልዩ ቴክኒካል ችሎታ ሳይኖራቸው በውስጥ ሰዎች ሊጠቀሙባቸው ይችላሉ።
የስርዓት አስተዳዳሪዎች በእርግጥ ከታች ያለውን ቅጽበታዊ ገጽ እይታ ያውቃሉ። ይህ የተጠቃሚ መረጃን የሚያዘጋጁበት እና የሚያርሙበት እና ተጠቃሚዎችን ለተገቢ ቡድኖች የሚመድቡበት የነቃ ዳይሬክቶሪ ተጠቃሚዎች እና ኮምፒውተሮች (ADUC) በይነገጽ ነው።
AD የሰራተኛ ስም፣ አድራሻ እና የስልክ ቁጥር መስኮች ይዟል፣ ስለዚህ ከስልክ ማውጫ ጋር ተመሳሳይ ነው። ግን በጣም ብዙ ነገር አለ! ሌሎች ትሮች ኢሜይል እና የድር አድራሻ፣ የመስመር አስተዳዳሪ እና ማስታወሻዎችን ያካትታሉ።
በድርጅቱ ውስጥ ያለ ሁሉም ሰው ይህንን መረጃ በተለይም በአንድ ዘመን ውስጥ ማየት ያስፈልገዋል? ፣ እያንዳንዱ አዲስ ዝርዝር ተጨማሪ መረጃ መፈለግ ይበልጥ ቀላል ሲያደርግ?
በጭራሽ! የኩባንያው ከፍተኛ አመራር መረጃ ለሁሉም ሰራተኞች ሲገኝ ችግሩ ይባባሳል።
PowerView ለሁሉም
PowerView የሚጫወተው እዚህ ነው። በጣም ለተጠቃሚ ምቹ የሆነ የPowerShell በይነገጽን ለዋናው (እና ግራ የሚያጋባ) የWin32 ተግባራትን AD ይድረሱ። በአጭሩ:
ይህ የኤዲ መስኮችን ሰርስሮ ማውጣት በጣም አጭር cmdlet መተየብ ቀላል ያደርገዋል።
ከኩባንያው መሪዎች አንዷ ስለ ሆነች ስለ ክሩላ ዴቪል ተቀጣሪ መረጃ የመሰብሰብ ምሳሌ እንውሰድ። ይህንን ለማድረግ የPowerView get-NetUser cmdlet ይጠቀሙ፡-
PowerView ን መጫን ከባድ ችግር አይደለም - በገጹ ላይ ለራስዎ ይመልከቱ . እና በይበልጥ ደግሞ፣ እንደ get-NetUser ያሉ ብዙ የPowerView ትዕዛዞችን ለማስኬድ ከፍ ያለ ልዩ መብቶች አያስፈልጉዎትም። በዚህ መንገድ፣ ተነሳሽነት ያለው ነገር ግን በቴክኖሎጂ እውቀት የሌለው ሰራተኛ ብዙ ጥረት ሳያደርጉ በ AD ጋር መምከር ሊጀምር ይችላል።
ከላይ ካለው ቅጽበታዊ ገጽ እይታ ውስጥ አንድ የውስጥ አዋቂ ስለ ክሩላ በፍጥነት ብዙ መማር እንደሚችል ማየት ይችላሉ። እንዲሁም "መረጃ" መስኩ የተጠቃሚውን የግል ልማዶች እና የይለፍ ቃል መረጃ እንደሚያሳይ አስተውለሃል?
ይህ የንድፈ ሐሳብ ዕድል አይደለም. ከ ግልጽ የሆኑ የይለፍ ቃሎችን ለማግኘት AD እንደሚቃኙ ተምሬያለሁ፣ እና ብዙ ጊዜ እነዚህ ሙከራዎች በሚያሳዝን ሁኔታ የተሳኩ ናቸው። ኩባንያዎች በ AD ውስጥ ላለው መረጃ ግድየለሾች መሆናቸውን ያውቃሉ፣ እና ስለሚቀጥለው ርዕስ የማያውቁት አዝማሚያ አላቸው፡ AD ፍቃዶች።
Active Directory የራሱ ACLs አለው።
የ AD ተጠቃሚዎች እና ኮምፒውተሮች በይነገጽ በ AD ነገሮች ላይ ፍቃዶችን እንዲያዘጋጁ ይፈቅድልዎታል። AD ACL አለው እና አስተዳዳሪዎች በእነሱ በኩል ሊሰጡ ወይም ሊከለከሉ ይችላሉ። በ ADUC View ሜኑ ውስጥ "Advanced" የሚለውን ጠቅ ማድረግ ያስፈልግዎታል ከዚያም ተጠቃሚውን ሲከፍቱ ACL ን ያቀናብሩበት "ሴኪዩሪቲ" ትርን ያያሉ.
በእኔ የCruella ሁኔታ፣ ሁሉም የተረጋገጡ ተጠቃሚዎች የእሷን የግል መረጃ ማየት እንዲችሉ አልፈልግም ነበር፣ ስለዚህ የማንበብ መዳረሻን ከልክያለሁ፡-
እና አሁን አንድ መደበኛ ተጠቃሚ Get-NetUserን በPowerView ውስጥ ከሞከረ ይህን ያያል፡-
ግልጽ የሆነ ጠቃሚ መረጃን ከሚታዩ አይኖች መደበቅ ቻልኩ። ለሚመለከታቸው ተጠቃሚዎች ተደራሽ እንዲሆን ለማድረግ፣ የቪአይፒ ቡድን አባላት (ክሩላ እና ሌሎች ከፍተኛ ደረጃ ያላቸው ባልደረቦቿ) ይህን ሚስጥራዊ ውሂብ እንዲደርሱበት ሌላ ACL ፈጠርኩ። በሌላ አነጋገር፣ በአርአያነት ላይ ተመስርቼ የኤ.ዲ. ፈቃዶችን ተግባራዊ አድርጌያለሁ፣ ይህም ኢንሳይደሮችን ጨምሮ ለአብዛኞቹ ሰራተኞች ሚስጥራዊነት ያለው መረጃ ተደራሽ እንዳይሆን አድርጎታል።
ነገር ግን፣ በ AD ውስጥ ባለው የቡድን ነገር ላይ ኤሲኤልን በማዘጋጀት የቡድን አባልነትን ለተጠቃሚዎች እንዳይታይ ማድረግ ትችላለህ። ይህ በግላዊነት እና ደህንነት ረገድ ይረዳል።
በእሱ ውስጥ PowerViews Get-NetGroupMemberን በመጠቀም የቡድን አባልነትን በመመርመር ስርዓቱን እንዴት ማሰስ እንደሚችሉ አሳይቻለሁ። በእኔ ስክሪፕት ውስጥ የአንድ የተወሰነ ቡድን አባልነት የማንበብ መዳረሻን ገድቢያለሁ። ከለውጦቹ በፊት እና በኋላ ትዕዛዙን ማስኬድ ውጤቱን ማየት ይችላሉ-
የCruella እና Monty Burnsን የቪአይፒ ቡድን አባልነት መደበቅ ችያለሁ፣ ይህም ለሰርጎ ገቦች እና የውስጥ አዋቂዎች መሠረተ ልማቱን ለመቃኘት አስቸጋሪ አድርጎታል።
ይህ ልጥፍ የታሰበው መስኮቹን በቅርበት እንድትመለከቱ ለማነሳሳት ነው።
AD እና ተዛማጅ ፈቃዶች። AD በጣም ጥሩ ምንጭ ነው፣ ግን እንዴት እንደሚያደርጉ ያስቡ
ሚስጥራዊ መረጃን እና የግል ውሂብን በተለይም ለማጋራት ፈልጎ ነበር።
ወደ ድርጅትዎ ከፍተኛ ባለስልጣናት ሲመጣ.
ምንጭ: hab.com