ما په کارولو سره د ننوتلو ازموینه ترسره کړې او دا د فعال ډایرکټر څخه د کارونکي معلوماتو ترلاسه کولو لپاره کارول کیږي (له دې وروسته د AD په توګه راجع کیږي). په هغه وخت کې، زما ټینګار د امنیتي ګروپ غړیتوب معلوماتو راټولولو او بیا د شبکې د نیولو لپاره د دې معلوماتو کارولو باندې و. په هرصورت، AD د کارمندانو حساس معلومات لري، چې ځینې یې باید په سازمان کې د هرچا لپاره د لاسرسي وړ نه وي. په حقیقت کې، د وینډوز فایل سیسټمونو کې یو برابر دی ، کوم چې د داخلي او بهرني برید کونکو لخوا هم کارول کیدی شي.
مګر مخکې لدې چې موږ د محرمیت مسلو او د دوی د حل کولو څرنګوالي په اړه وغږیږو ، راځئ چې په AD کې ذخیره شوي ډیټا ته یو نظر وګورو.
Active Directory is on Facebook
مګر پدې حالت کې، تاسو لا دمخه د هرچا سره ملګرتیا کړې ده! تاسو ممکن د خپلو همکارانو د خوښې فلمونو، کتابونو، یا رستورانتونو په اړه نه پوهیږئ، مګر AD د اړیکو حساس معلومات لري.
ډیټا او نورې ساحې چې د هیکرانو او حتی داخلي لخوا پرته له ځانګړي تخنیکي مهارتونو څخه کارول کیدی شي.
د سیسټم مدیران البته د لاندې سکرین شاټ سره آشنا دي. دا د فعال لارښود کاروونکو او کمپیوټرونو (ADUC) انٹرفیس دی چیرې چې دوی د کارونکي معلومات تنظیم او ایډیټ کوي او کاروونکي مناسبو ډلو ته سپاري.
AD د کارمند نوم، پته، او د تلیفون شمیرې لپاره ساحې لري، نو دا د تلیفون لارښود ته ورته دی. مګر نور ډیر څه شتون لري! په نورو ټبونو کې بریښنالیک او ویب پته، لاین مدیر، او یادښتونه هم شامل دي.
ایا په سازمان کې هرڅوک اړتیا لري چې دا معلومات وګوري، په ځانګړې توګه په یوه دوره کې ، کله چې هر نوي توضیحات د نورو معلوماتو لټون حتی اسانه کوي؟
البته نه! ستونزه هغه وخت پیچلې کیږي کله چې د شرکت د لوړ مدیریت څخه ډاټا ټولو کارمندانو ته شتون ولري.
د هرچا لپاره پاور ویو
دا هغه ځای دی چې پاور ویو لوبې ته راځي. دا د اصلي (او مغشوشونکي) Win32 افعالونو ته چې AD ته لاسرسی لري خورا د کارونکي دوستانه PowerShell انٹرفیس چمتو کوي. په لنډه کښی:
دا د AD ساحو ترلاسه کول دومره اسانه کوي لکه د خورا لنډ cmdlet ټایپ کول.
راځئ چې د کرویلا ډیویل د کارمند په اړه د معلوماتو راټولولو مثال واخلو، کوم چې د شرکت مشر دی. د دې کولو لپاره، د PowerView get-NetUser cmdlet وکاروئ:
د پاور ویو نصب کول جدي ستونزه نده - په پاڼه کې د ځان لپاره وګورئ . او تر ټولو مهم، تاسو د ډیری پاور ویو کمانډونو چلولو لپاره لوړ امتیازونو ته اړتیا نلرئ، لکه get-NetUser. پدې توګه ، یو هڅول شوی مګر خورا ټیکنالوژي نه پوهیدونکی کارمند کولی شي پرته له ډیرې هڅې څخه د AD سره ټینکر پیل کړي.
د پورتني سکرین شاټ څخه ، تاسو لیدلی شئ چې یو داخلي کولی شي په چټکۍ سره د کرویلا په اړه ډیر څه زده کړي. ایا تاسو دا هم لیدلي چې د "معلوماتو" ساحه د کارونکي شخصي عادتونو او پټنوم په اړه معلومات څرګندوي؟
دا یو نظري امکان نه دی. څخه ما زده کړل چې دوی د ساده متن پاسورډونو موندلو لپاره AD سکین کوي ، او ډیری وختونه دا هڅې له بده مرغه بریالۍ وي. دوی پوهیږي چې شرکتونه په AD کې د معلوماتو سره بې پروا دي، او دوی د راتلونکي موضوع څخه ناخبره دي: د AD اجازه.
فعال لارښود خپل ACLs لري
د AD کاروونکو او کمپیوټر انٹرفیس تاسو ته اجازه درکوي د AD شیانو لپاره اجازې تنظیم کړئ. AD ACLs لري او مدیران کولی شي د دوی له لارې لاسرسی ورکړي یا رد کړي. تاسو اړتیا لرئ د ADUC لید مینو کې "پرمختللي" کلیک وکړئ او بیا کله چې تاسو کارن خلاص کړئ تاسو به د "امنیت" ټب وګورئ چیرې چې تاسو ACL تنظیم کړی.
زما د کرویلا سناریو کې، ما نه غوښتل چې ټول مستند شوي کاروونکي د هغې شخصي معلومات وګوري، نو ما دوی ته د لوستلو لاسرسی رد کړ:
او اوس یو عادي کارونکی به دا وګوري که دوی په پاور ویو کې د Get-NetUser هڅه وکړي:
ما وکولی شول په ښکاره ډول ګټور معلومات د سترګو څخه پټ کړم. د دې لپاره چې دا اړونده کاروونکو ته د لاسرسي وړ وي، ما یو بل ACL رامینځته کړی ترڅو د VIP ګروپ غړو (کرویلا او د هغې نور لوړ پوړي همکاران) دې حساس معلوماتو ته لاسرسی ومومي. په بل عبارت، ما د رول ماډل پراساس د AD اجازې پلي کړې، کوم چې حساس معلومات د ډیرو کارمندانو لپاره د لاسرسي وړ ندي، په شمول د داخلي.
په هرصورت، تاسو کولی شئ د ګروپ غړیتوب کاروونکو ته د AD په اساس په ګروپ اعتراض کې د ACL په ترتیب کولو سره د کاروونکو لپاره پټ کړئ. دا به د محرمیت او امنیت شرایطو کې مرسته وکړي.
په هغه کې ما وښودله چې تاسو څنګه کولی شئ د PowerViews Get-NetGroupMember په کارولو سره د ګروپ غړیتوب معاینه کولو سره سیسټم نیویګیټ کړئ. زما په سکریپټ کې، ما په ځانګړي ګروپ کې غړیتوب ته د لوستلو لاسرسی محدود کړ. تاسو کولی شئ د بدلونونو دمخه او وروسته د کمانډ چلولو پایله وګورئ:
زه وکولی شوم چې د VIP ګروپ کې د کرویلا او مونټي برنز غړیتوب پټ کړم، د هیکرانو او داخليانو لپاره د زیربنا کشف کول ستونزمن کړي.
دا پوسټ د دې لپاره و چې تاسو هڅوي چې ساحو ته نږدې کتنه وکړئ
AD او اړونده اجازه. AD یوه لویه سرچینه ده، مګر فکر وکړئ چې تاسو به څنګه
غوښتل چې محرم معلومات او شخصي معلومات شریک کړي، په ځانګړې توګه
کله چې ستاسو د ادارې لوړ پوړو چارواکو ته راځي.
سرچینه: www.habr.com