ProHoster > بلاګ > اداره > د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

ظاهرا، دا زما کار دی چې معیاري ستونزې په ټولو غیر معمولي لارو حل کړم. که څوک د ستونزې په اړه مختلف نظر لري، مهرباني وکړئ په بحث کې ګډون وکړئ ترڅو موږ وکولی شو د هغې له لارې کار وکړو.

یوه ښه سهار، یوه په زړه پورې دنده رامنځته شوه: د پروژې فرعي فولډرونو او د سند فولډرونو لرونکي مختلفو شریکونو کې د کاروونکو ډلو ته د اجازې ورکول. هرڅه ښه روان وو، او یو سکریپټ لیکل شوی و چې فولډرونو ته اجازه ورکړي. بیا دا معلومه شوه چې ګروپونو ته اړتیا وه چې د مختلفو ډومینونو، د مختلفو ځنګلونو څخه کاروونکي ولري (د هغو کسانو لپاره چې هېر کړي دي چې دا څه دي). فرض کړئ چې ونډه پخپله د PSI ځنګل په FB ډومین کې ثبت شوي Synology ډرایو کې موقعیت لري. دنده دا ده چې کاروونکو ته اجازه ورکړي ډومینونه بل ځنګل ته چې د دې بال مینځپانګې ته لاسرسی ولري، او په خورا انتخابي ډول.

یو څه وخت وروسته، تخنیکي مشخصات لاندې بڼه غوره کړه:

  • دوه ځنګلونه: د PSI ځنګل، د TG ځنګل.

    د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

  • هر ځنګل درې ډومینونه لري: PSI (ZG، PSI، FB)؛ TG (TG، HU، KC).
  • د ځنګلونو ترمنځ د باور اړیکه شتون لري، سینولوژي په ټولو ځنګلونو کې د امنیت ټولې ډلې ګوري.
  • شریکونه او فولډرونه/فرعي فولډرونه باید د FB ډومین مدیر حسابونه ولري چې د FullControl حقونه ولري.
  • د شریکولو فولډر نومونه باید منظم شي. مدیریت د پروژې IDs همغږي کړل، او ما پریکړه وکړه چې د امنیت ګروپ نومونه د پروژې IDs سره وصل کړم.
  • د سیسټم شریکانو کې د پروژې فولډرونه باید په .xlsx فایل کې مخکې له مخکې چمتو شوی جوړښت ولري، د اړونده لاسرسي امتیازاتو سره (R/RW/NA، چیرې چې NA معنی لري لاسرسی نشته)

    د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

  • دا باید ممکنه وي چې د یوې پروژې د کاروونکو/ګروپ غړو حقونه د هغې پروژې دننه ځانګړو ډایرکټریو پورې محدود شي. کاروونکي ممکن د دوی د ګروپ غړیتوب پراساس نورو ډایرکټریو/پروژو ته لاسرسی ونلري.
  • کله چې د پروژې فولډر جوړ کړئ، ګروپونه باید د پروژې IDs سره سم نومونو سره په اړونده ډومینونو کې د امکان تر حده په اتوماتيک ډول جوړ شي.

د حوالې شرایطو ته یادښتونه

  • د باور اړیکو تنظیم کول د تخنیکي مشخصاتو په ساحه کې شامل نه دي.
  • د پروژې ID شمېرې او لاتیني توري لري.
  • د ټولو ډومینونو لپاره د پروژې کارونکي رولونه معیاري نومونه لري.
  • د ټولې پروژې له پیل څخه مخکې د فولډرونو او لاسرسي حقونو (د لاسرسي میټریکس) سره د .xlsx فایل چمتو کیږي.
  • کله چې پروژې پلي کیږي، نو دا ممکنه ده چې په اړوندو ډومینونو کې د کاروونکو ګروپونه جوړ کړئ.
  • اتومات کول د معیاري MS ادارې وسیلو په کارولو سره ترلاسه کیږي. Windows

د تخنیکي مشخصاتو پلي کول

د دې اړتیاوو رسمي کولو وروسته، د لارښودونو جوړولو او هغوی ته د اجازې ورکولو لپاره د میتودونو ازموینې لپاره یو تاکتیکي وقفه واخیستل شوه. پلان دا و چې یوازې د پاور شیل څخه کار واخیستل شي ترڅو پروژه ساده وساتل شي. لکه څنګه چې ما مخکې لیکلي وو، د سکریپټ الګوریتم خورا ساده ښکاریده:

  • موږ ګروپونه د پروژې ID (د مثال په توګه، KC40587) او اړونده رولونو څخه اخیستل شوي نوم سره راجستر کوو چې د لاسرسي میټریکس کې مشخص شوي دي: KC40587-EN - د انجینر لپاره؛ KC40587-PM - د محصول مدیر لپاره، او داسې نور.
  • موږ د جوړ شویو ډلو SIDs ترلاسه کوو
  • موږ د پروژې فولډر او د اړونده لارښودونو سیټ ثبت کوو (د فرعي فولډرونو لیست په هغه برخه پورې اړه لري چې دا د لاسرسي میټریکس کې رامینځته شوی او تعریف شوی)
  • موږ د لاسرسي میټریکس سره سم د نوي پروژې فرعي ډایرکټریو لپاره ډلو ته حقونه ورکوو.

په لومړي پړاو کې ورسره مخ شوي ستونزې:

  • په سکریپټ کې د لاسرسي میټریکس تعریف کولو څرنګوالي په اړه غلط فهمۍ (اوس مهال یو څو اړخیز صف پلي کیږي، مګر د .xlsx فایل/لاسرسي میټریکس د مینځپانګې پراساس د هغې د ډکولو لپاره یوه لاره لټول کیږي)

    د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

  • د PoSH (https://social.technet.microsoft.com/Forums/en-US/3f1a949f-0919-46f1-9e10-89256cf07e65/error-using-setacl-on-nas-share?forum=winserverpowershell) په کارولو سره په SMB ونډو کې د لاسرسي حقونو تنظیم کولو ناممکنیت، چې د وخت لوی ضایع کیدو لامل شو او د icacls لاسرسي حقونو ایډیټ کولو اسانتیا په کارولو سره سکریپټونو ته د هرڅه تطبیق ته اړ شو، کوم چې د متن او cmd فایلونو د منځمهاله زیرمې جوړولو ته اړتیا درلوده.

په اوسني حالت کې، د cmd فایلونو اجرا کول په لاسي ډول کنټرول کیږي، د پروژې لپاره د فولډر ثبتولو اړتیا پراساس.

د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

دا هم معلومه شوه چې سکریپټ باید اجرا شي، په شمول د نورو ځنګلونو کې د ډلو ثبتولو لپاره (د کراس ډومین اصطلاح کارول شوې وه)، او تناسب نه یوازې له یو څخه تر یو پورې، بلکې له ډیرو څخه تر 1 پورې هم کیدی شي.

د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

دا پدې مانا ده چې د نورو متقابل ډومینونو څخه ډلې، په شمول د ګاونډیو ځنګلونو، اوس کولی شي په هر ټاکل شوي ډومین کې سرچینو ته لاسرسی ادعا وکړي. د ثبات ډاډمن کولو لپاره، پریکړه وشوه چې د ټولو ځنګلونو (تور عمودی بیضوي) په ټولو خدمت شوي ډومینونو کې د OUs کې یو متناسب جوړښت رامینځته کړي. لکه څنګه چې ویل کیږي، په اردو کې، هرڅه باید بدصورت وي، مګر یو شان وي:

د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

په دې توګه، کله چې پروژه 80XXX په TG ډومین کې ثبت کیږي، سکریپټ اجرا کوي:

۱. په ورکړل شوي ډومین او کراس ډومینونو کې د اړونده OU (سور افقي بیضوي) رامینځته کول، دا هغه ډومینونه دي چې کارمندان یې باید ورکړل شوي سرچینې ته لاسرسی ولري.

۲. د OU ډکول د هغه ډول نومونو سره ګروپونه لري -، چیرته:

  • SRC_ ډومین - کراس ډومین، چې کارمندان به یې د DST ډومین سرچینو ته لاسرسی ولري
  • DST_domain – هغه ډومین چې سرچینو ته یې، په حقیقت کې، لاسرسی باید ورکړل شي، دا د هغه لپاره دی چې هرڅه یې پیل شوي وو
  • — د پروژې شمېره
  • رولونه - د هغو رولونو نومونه چې د لاسرسي میټریکس کې لیست شوي دي.

۳. د ټولو ښکیلو ډومینونو د ټولو ګروپونو د SID صف لوستل او د هغه فایل ته د معلوماتو د لیږد لپاره خوندي کول چې د یوې ځانګړې پروژې فرعي فولډر حقونه تعریفوي.

۴. د اجرا وړ فایل حالت "icacKC "as-nasNNKCProjects" /restore C:TempKCKC40XXKC40XX.txt" کې د icacKC یوټیلټي لخوا د کارولو لپاره د حقونو سیټ سره د سرچینې فایلونو (/restore پیرامیټر) رامینځته کول.

۵. د CMD فایل جوړول چې د ټولو پروژې فولډرونو لپاره ټول icacls چلونه سره یوځای کړي.

د مختلفو ځنګلونو څخه د ډومین کاروونکو ته د حقونو لویه پیمانه دنده

لکه څنګه چې مخکې لیکل شوي وو، د اجرا وړ فایل په لاسي ډول پیل کیږي او د اجرا کولو پایلو ارزونه هم په لاسي ډول ترسره کیږي.

هغه ستونزې چې په پای کې ورسره مخ شوې وې:

  • که چیرې د پروژې فولډر لا دمخه د ډیرو فایلونو څخه ډک وي، نو په موجوده حجمونو کې د icacls قوماندې پروسس کول کولی شي د پام وړ وخت ونیسي، او په ځینو مواردو کې د ناکامۍ لامل کیږي (د مثال په توګه، که چیرې د فایلونو اوږدې لارې شتون ولري)؛
  • د /restore پیرامیټر سربیره، دا اړینه وه چې د /reset پیرامیټر سره کرښې اضافه شي که چیرې فولډرونه جوړ شوي نه وي، مګر د پخوانیو موجوده فولډرونو څخه لیږدول شوي وي، د ریښې څخه د میراث حقونه غیر فعال شوي وي؛
  • د ډلو جوړولو لپاره د سکرېپټ یوه برخه باید د هر ځنګل لپاره په ناڅاپي DC کې اجرا شي؛ ستونزه د هرې ونې لپاره اداري حسابونو پورې اړه لري.

په ټولیزه توګه پایله: دا ډیره د حیرانتیا خبره ده چې لا تر اوسه په بازار کې د ورته فعالیت سره هیڅ اسانتیاوې شتون نلري. داسې ښکاري چې د SharePoint پورټل په کارولو سره ورته فعالیت پلي کول ممکن دي.
دا هم روښانه نه ده چې د سینولوژي وسیلو کې د فولډر اجازې تنظیم کولو لپاره د PoSH اسانتیاو کارول ممکن ندي.

که څوک علاقه ولري، زه چمتو یم چې په ګیټ هب کې د پروژې په جوړولو سره سکریپټ شریک کړم.

سرچینه: www.habr.com

د DDoS محافظت ، VPS VDS سرورونو سره د سایټونو لپاره معتبر کوربه توب واخلئ 🔥 د DDoS محافظت، VPS VDS سرورونو سره د باور وړ ویب پاڼې کوربه توب واخلئ | ProHoster