ProHoster > بلاګ > اداره > د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

ظاهرا زما کار دا دی: په هر ډول غیر معمولي لارو کې د معیاري کارونو پلي کول. که څوک د ستونزې په اړه بل نظر لري، مهرباني وکړئ په دې اړه بحث وکړئ ترڅو مسله حل شي.

یو ښه سهار یو په زړه پوری دنده رامینځته شوه چې د مختلف ونډو لپاره د کاروونکو ډلو حقونه توزیع کړي چې د اسنادو فولډرونو سره د پروژو فرعي فولډرونه لري. هرڅه سم وو او یو سکریپټ لیکل شوی و ترڅو فولډرو ته حقونه ورکړي. او بیا دا معلومه شوه چې ډلې باید د مختلف ډومینونو څخه کاروونکي ولري، د مختلفو ځنګلونو څخه (د هغو کسانو لپاره چې هیر شوي چې دا څه دي). راځئ چې ووایو خپله برخه په سینولوژی میډیا کې موقعیت لري ، د PSI ځنګل په FB ډومین کې ثبت شوی. دنده: په بل ځنګل کې د ډومینونو کاروونکو ته اجازه ورکول چې د دې ونډې مینځپانګې ته لاسرسی ولري ، او په خورا غوره توګه.

د یو څه وخت وروسته، تخنیکي مشخصات لاندې بڼه ونیوله:

  • 2 ځنګلونه: PSI ځنګل، د TG ځنګل.

    د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

  • هر ځنګل درې ډومینونه لري: PSI (ZG, PSI, FB)؛ TG (TG, HU, KC).
  • د ځنګلونو ترمنځ د باور اړیکه شتون لري؛ Synology په ټولو ځنګلونو کې ټولې امنیتي ډلې ګوري.
  • ونډې او فولډرونه / فرعي فولډر باید د FB ډومین مدیر حسابونه د بشپړ کنټرول حقونو سره ولري
  • د فولډرو نومونه باید په سیستماتیک ډول ترتیب شي. مدیریت د پروژې IDs همغږي کړي؛ ما پریکړه وکړه چې د امنیتي ډلو نومونه د پروژې IDs سره ونښلوم.
  • د سیسټم ونډو کې د پروژې فولډرونه باید یو جوړښت ولري چې مخکې له مخکې په .xlsx فایل کې چمتو شوی وي، د مناسب لاسرسي امتیازاتو سره (R/RW/NA، چیرته چې NA - هیڅ لاسرسی نلري)

    د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

  • دا باید ممکنه وي چې د یوې پروژې د کاروونکو / ګروپ غړو حقونه یوازې د پروژې ځینې لارښودونو پورې محدود کړي. کارونکي ممکن د ګروپ غړیتوب پورې اړه لري نورو لارښودونو/پروژو ته لاسرسی ونلري.
  • کله چې د پروژې فولډر رامینځته کړئ ، ډلې باید د امکان تر حده په مناسبو ډومینونو کې د پروژې IDs سره ورته نومونو سره رامینځته شي.

تخنیکي مشخصاتو ته یادونه

  • د باور اړیکو تنظیم کول د تخنیکي مشخصاتو په ساحه کې شامل ندي
  • د پروژې ID شمیرې او لاتیني حروف لري
  • د ټولو ډومینونو لپاره د پروژې کارونکي رولونه معیاري نومونه لري
  • د .xlsx فایل د فولډرو او لاسرسي حقونو سره (د لاسرسي میټریکس) د ټولې پروژې له پیل دمخه چمتو شوی
  • کله چې د پروژې پلي کول، دا ممکنه ده چې په اړونده ډومینونو کې د کاروونکو ګروپونه جوړ کړئ
  • اتوماتیک د معیاري MS وینډوز ادارې وسیلو په کارولو سره ترلاسه کیږي

د تخنیکي مشخصاتو پلي کول

د دې اړتیاو د رسمي کولو وروسته، یو تاکتیکي وقفه د لارښوونو د جوړولو او دوی ته د حقونو د ورکولو لپاره د میتودونو آزموینې لپاره ونیول شوه. دا یوازې د PowerShell کارولو لپاره و، ترڅو پروژه پیچلې نه کړي. لکه څنګه چې ما مخکې لیکلي، د سکریپټ الګوریتم خورا ساده ښکاري:

  • موږ ګروپونه د پروژې ID څخه اخیستل شوي نوم سره ثبت کوو (د مثال په توګه KC40587) او اړونده رولونه چې د لاسرسي میټریکس کې مشخص شوي: KC40587-EN- د انجینر لپاره؛ KC40587-PM - د محصول مدیر لپاره، او داسې نور.
  • موږ د جوړ شوي ګروپونو SIDs ترلاسه کوو
  • د پروژې فولډر او د لارښودونو اړونده سیټ راجستر کړئ (د فرعي فولډرونو لیست په هغه برخه پورې اړه لري چې پکې رامینځته کیږي او د لاسرسي میټریکس کې تعریف شوي)
  • د لاسرسي میټریکس مطابق د پروژې نوي فرعي لارښودونو لپاره ډلو ته حقونه ورکړئ.

هغه ستونزې چې په لومړي پړاو کې ورسره مخ شوي:

  • په سکریپټ کې د لاسرسي میټریکس مشخص کولو میتود په اړه غلط فهم (یو څو اړخیز سرې اوس پلي کیږي ، مګر د ډکولو لاره د .xlsx فایل / لاسرسي میټریکس مینځپانګې پراساس لټول کیږي)

    د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

  • د PoSH په کارولو سره په SMB ونډو کې د SMB ونډو کې د لاسرسي حقونو تنظیم کول ناممکن دي (https://social.technet.microsoft.com/Forums/en-US/3f1a949f-0919-46f1-9e10-89256cf07e65/error-using-setacl-on- nas -share?forum=winserverpowershell)، چې له امله یې ډیر وخت ضایع شوی و او هرڅه باید د icacls د لاسرسي حقونو ترمیم کارولو په کارولو سره سکریپټونو ته تطبیق شي، کوم چې د متن او cmd فایلونو منځمهاله ذخیره رامینځته کولو ته اړتیا درلوده.

په اوسني حالت کې، د cmd فایلونو اجرا کول په لاسي ډول کنټرول کیږي، د پروژې لپاره د فولډر راجستر کولو اړتیا پورې اړه لري.

د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

دا هم معلومه شوه چې سکریپټ باید په نورو ځنګلونو کې د ګروپونو راجستر کولو لپاره هم اجرا شي (د کراس ډومینونو اصطلاح کارول شوې وه)، او تناسب کیدای شي نه یوازې له 1 څخه یو، بلکې له 1 څخه ډیری وي.

د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

دا پدې مانا ده چې د ګاونډیو ځنګلونو په ګډون د نورو کراس ډومینونو ډلې اوس کولی شي د هر ډومین سرچینو ته د لاسرسي ادعا وکړي. د یووالي د لاسته راوړلو لپاره، پریکړه وشوه چې د ټولو ځنګلونو د ټولو خدمت شوي ډومینونو (تور عمودی اوولونو) په OU کې یو متقابل جوړښت رامینځته کړي. لکه څنګه چې دوی وايي، په اردو کې هرڅه باید بدمرغه وي، مګر یونیفورم:

د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

په دې توګه، کله چې په TG ډومین کې د پروژې 80XXX راجستر کول، سکریپټ اجرا کوي:

1. په دې ډومین او کراس ډومینونو کې د اړونده OU (سرخ افقی اوول) رامینځته کول ، دا هغه ډومینونه دي چې کارمندان یې باید دې سرچینې ته لاسرسی ولري.

2. د ګروپونو سره د OU ډکول لکه -، چیرته چې:

  • SRC_ ډومین - کراس ډومین چې کارمندان به یې د DST ډومین سرچینو ته لاسرسی ولري
  • DST_domain - هغه ډومین چې سرچینې ته یې په حقیقت کې لاسرسی باید چمتو شي، دا د دې لپاره چې هرڅه پیل شوي
  • - د پروژې شمیره
  • ROLES - د هغه رولونو نومونه چې د لاسرسي میټرکس کې لیست شوي.

3. د ټولو ښکیلو ډومینونو د ټولو ګروپونو د SIDs سرې لوستل او د یوې فایل ته د راتلونکي ډیټا لیږد لپاره خوندي کول چې د ځانګړي پروژې فرعي فولډر حقونه تعریفوي.

4. د سرچینې فایلونو نسل (پیرامیټ / بیا رغونه) د icacKC یوټیلیټ لخوا د اجرا وړ فایل حالت "icacKC" as-nasNNKCprojects" / restore C:TempKCKC40XXKC40XX.txt" کې د کارولو لپاره د حقونو سیټ سره.

5. د CMD فایل رامینځته کول چې د پروژې ټولو فولډرونو لپاره ټول پیل شوي icacls سره یوځای کوي

د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

لکه څنګه چې مخکې لیکل شوي و، د اجرا وړ فایل پیل کول په لاسي ډول ترسره کیږي او د اعدام پایلو ارزونه هم په لاسي ډول ترسره کیږي.

هغه ستونزې چې موږ یې په پای کې ورسره مخ وو:

  • که چیرې د پروژې فولډر دمخه د ډیری فایلونو څخه ډک شوی وي ، نو په موجوده حجمونو کې د icacls کمانډ چلول د پام وړ وخت نیسي ، او په ځینو مواردو کې د ناکامۍ لامل کیږي (د مثال په توګه ، کله چې د فایل اوږده لارې شتون ولري)؛
  • د /Restore پیرامیټر سربیره، موږ باید د /reset پیرامیټر سره لینونه اضافه کړو که چیرې فولډرونه نه وي رامینځته شوي، مګر د پخوانیو موجود فولډرونو څخه لیږدول شوي، د ریښې څخه د میراث حقونو سره غیر فعال شوي؛
  • د ګروپونو جوړولو لپاره د سکریپټ یوه برخه باید د هر ځنګل په خپل سري DC کې اجرا شي، ستونزه د هرې ونې لپاره اداري حسابونو پورې اړه لري.

عمومي پایله: دا خورا عجیب دی چې لاهم په بازار کې د ورته فعالیت سره هیڅ اسانتیاوې شتون نلري. داسې ښکاري چې د SharePoint پورټل پراساس ورته فعالیت پلي کول ممکن وي.
دا هم د پوهیدو وړ نه ده چې په سینولوژي وسیلو کې د فولډر حقونو تنظیم کولو لپاره د PoSH اسانتیاو کارول ممکن ندي.

که وغواړي، زه چمتو یم چې په ګیتوب کې د یوې پروژې په جوړولو سره سکریپټ شریک کړم که څوک علاقه ولري.

سرچینه: www.habr.com

Add a comment