Na yi gwajin shiga ta amfani da kuma yayi amfani dashi don dawo da bayanin mai amfani daga Active Directory (nan gaba ana kiransa AD). A lokacin, na fi mayar da hankali kan tattara bayanan membobin ƙungiyar tsaro sannan kuma amfani da wannan bayanin don kewaya hanyar sadarwar. Ko ta yaya, AD ya ƙunshi bayanan ma'aikata masu mahimmanci, wasu daga cikinsu da gaske bai kamata su kasance masu isa ga kowa da kowa a cikin kungiyar ba. A zahiri, a cikin tsarin fayilolin Windows akwai daidai , wanda kuma duka biyu masu kai hari na ciki da na waje za su iya amfani da su.
Amma kafin mu yi magana game da abubuwan sirri da yadda za a gyara su, bari mu kalli bayanan da aka adana a cikin AD.
Active Directory shine kamfani na Facebook
Amma a wannan yanayin, kun riga kun yi abota da kowa! Wataƙila ba ku sani ba game da fina-finai, littattafai, ko gidajen abinci da abokan aikinku suka fi so, amma AD ya ƙunshi mahimman bayanan tuntuɓar.
bayanai da sauran fannonin da masu kutse za su iya amfani da su har ma da masu ciki ba tare da fasahar fasaha ta musamman ba.
Ma'aikatan tsarin sun saba da hoton da ke ƙasa. Wannan ita ce hanyar sadarwa ta Active Directory Users and Computers (ADUC) inda suke saitawa da gyara bayanan mai amfani da sanya masu amfani ga ƙungiyoyin da suka dace.
AD ya ƙunshi filaye don sunan ma'aikaci, adireshi, da lambar waya, don haka yana kama da kundin adireshin waya. Amma akwai ƙari sosai! Sauran shafuka kuma sun haɗa da imel da adireshin yanar gizo, mai sarrafa layi, da bayanin kula.
Shin kowa a cikin ƙungiyar yana buƙatar ganin wannan bayanin, musamman a cikin wani zamani , lokacin da kowane sabon daki-daki ya sa neman ƙarin bayani ya fi sauƙi?
Tabbas ba haka bane! Matsalar tana ƙaruwa lokacin da bayanai daga manyan gudanarwar kamfani ke samuwa ga duk ma'aikata.
PowerView ga kowa da kowa
Wannan shine inda PowerView ya shigo cikin wasa. Yana ba da kyakkyawar hanyar sadarwa ta PowerShell mai sauƙin amfani zuwa abubuwan da ke cikin (da ruɗani) Win32 ayyuka waɗanda ke samun damar AD. A takaice:
wannan ya sa maido da filayen AD cikin sauƙi kamar buga gajeren cmdlet.
Bari mu ɗauki misali na tattara bayanai game da ma'aikacin Cruella Deville, wanda yana ɗaya daga cikin shugabannin kamfanin. Don yin wannan, yi amfani da PowerView get-NetUser cmdlet:
Shigar da PowerView ba babbar matsala ba ce - duba da kanku akan shafin . Kuma mafi mahimmanci, ba kwa buƙatar manyan gata don gudanar da yawancin umarnin PowerView, kamar samun-NetUser. Ta wannan hanyar, ma'aikaci mai ƙwazo amma ba mai fasaha sosai ba zai iya fara tinkering tare da AD ba tare da ƙoƙari sosai ba.
Daga hoton da ke sama, zaku iya ganin cewa mai ciki zai iya koyan abubuwa da yawa game da Cruella da sauri. Shin kun lura cewa filin "bayanai" yana bayyana bayanai game da halayen mai amfani da kalmar sirri?
Wannan ba yuwuwar fahimta ba ce. Daga Na koyi cewa suna bincika AD don nemo kalmomin sirri na zahiri, kuma sau da yawa waɗannan ƙoƙarin suna yin nasara. Sun san cewa kamfanoni ba su da sakaci da bayanai a cikin AD, kuma sun saba da rashin sanin batu na gaba: izinin AD.
Active Directory yana da nasa ACLs
Ƙididdigar masu amfani da AD da Kwamfutoci suna ba ku damar saita izini akan abubuwan AD. AD yana da ACLs kuma masu gudanarwa na iya ba da izini ko hana shiga ta hanyar su. Kuna buƙatar danna "Advanced" a cikin ADUC View menu sannan idan kun buɗe mai amfani za ku ga shafin "Security" inda kuka saita ACL.
A cikin labari na Cruella, Ba na son duk Masu Amfani da Gaskiya su iya ganin bayanan sirrinta, don haka na hana su karantawa:
Kuma yanzu mai amfani na yau da kullun zai ga wannan idan sun gwada Get-NetUser a cikin PowerView:
Na yi nasarar ɓoye bayanan masu amfani a fili daga idanu masu zazzagewa. Don kiyaye shi zuwa ga masu amfani da suka dace, na ƙirƙiri wani ACL don ba da damar membobin ƙungiyar VIP (Cruella da sauran manyan abokan aikinta) don samun damar wannan mahimman bayanai. A wasu kalmomi, na aiwatar da izinin AD bisa ga abin koyi, wanda ya sa bayanai masu mahimmanci ba su iya isa ga yawancin ma'aikata, ciki har da Insiders.
Koyaya, zaku iya sanya membobin ƙungiyar ganuwa ga masu amfani ta hanyar saita ACL akan abun rukuni a cikin AD daidai. Wannan zai taimaka ta fuskar sirri da tsaro.
A cikin nasa Na nuna yadda zaku iya kewaya tsarin ta hanyar bincika membobin ƙungiya ta amfani da PowerViews Get-NetGroupMember. A cikin rubutuna, na ƙuntata damar karantawa zuwa memba a cikin takamaiman rukuni. Kuna iya ganin sakamakon gudanar da umarni kafin da bayan canje-canje:
Na sami damar ɓoye membobin Cruella da Monty Burns a cikin rukunin VIP, wanda hakan ya sa ya zama da wahala ga masu satar bayanai da masu shiga ciki su leka abubuwan more rayuwa.
An yi niyya wannan post ɗin ne don ƙarfafa ku don ku kalli filayen sosai
AD da izini masu alaƙa. AD babbar hanya ce, amma kuyi tunanin yadda zakuyi
yana son raba bayanan sirri da bayanan sirri, musamman
idan ana maganar manyan jami'an kungiyar ku.
source: www.habr.com