ما په کارولو سره د ننوتلو ازموینه ترسره کړې
مګر مخکې لدې چې موږ د محرمیت مسلو او د دوی د حل کولو څرنګوالي په اړه وغږیږو ، راځئ چې په AD کې ذخیره شوي ډیټا ته یو نظر وګورو.
Active Directory is on Facebook
مګر پدې حالت کې، تاسو لا دمخه د هرچا سره ملګرتیا کړې ده! تاسو ممکن د خپلو همکارانو د خوښې فلمونو، کتابونو، یا رستورانتونو په اړه نه پوهیږئ، مګر AD د اړیکو حساس معلومات لري.
ډیټا او نورې ساحې چې د هیکرانو او حتی داخلي لخوا پرته له ځانګړي تخنیکي مهارتونو څخه کارول کیدی شي.
د سیسټم مدیران البته د لاندې سکرین شاټ سره آشنا دي. دا د فعال لارښود کاروونکو او کمپیوټرونو (ADUC) انٹرفیس دی چیرې چې دوی د کارونکي معلومات تنظیم او ایډیټ کوي او کاروونکي مناسبو ډلو ته سپاري.
AD د کارمند نوم، پته، او د تلیفون شمیرې لپاره ساحې لري، نو دا د تلیفون لارښود ته ورته دی. مګر نور ډیر څه شتون لري! په نورو ټبونو کې بریښنالیک او ویب پته، لاین مدیر، او یادښتونه هم شامل دي.
ایا په سازمان کې هرڅوک اړتیا لري چې دا معلومات وګوري، په ځانګړې توګه په یوه دوره کې
البته نه! ستونزه هغه وخت پیچلې کیږي کله چې د شرکت د لوړ مدیریت څخه ډاټا ټولو کارمندانو ته شتون ولري.
د هرچا لپاره پاور ویو
دا هغه ځای دی چې پاور ویو لوبې ته راځي. دا د اصلي (او مغشوشونکي) Win32 افعالونو ته چې AD ته لاسرسی لري خورا د کارونکي دوستانه PowerShell انٹرفیس چمتو کوي. په لنډه کښی:
دا د AD ساحو ترلاسه کول دومره اسانه کوي لکه د خورا لنډ cmdlet ټایپ کول.
راځئ چې د کرویلا ډیویل د کارمند په اړه د معلوماتو راټولولو مثال واخلو، کوم چې د شرکت مشر دی. د دې کولو لپاره، د PowerView get-NetUser cmdlet وکاروئ:
د پاور ویو نصب کول جدي ستونزه نده - په پاڼه کې د ځان لپاره وګورئ
د پورتني سکرین شاټ څخه ، تاسو لیدلی شئ چې یو داخلي کولی شي په چټکۍ سره د کرویلا په اړه ډیر څه زده کړي. ایا تاسو دا هم لیدلي چې د "معلوماتو" ساحه د کارونکي شخصي عادتونو او پټنوم په اړه معلومات څرګندوي؟
دا یو نظري امکان نه دی. څخه
فعال لارښود خپل ACLs لري
د AD کاروونکو او کمپیوټر انٹرفیس تاسو ته اجازه درکوي د AD شیانو لپاره اجازې تنظیم کړئ. AD ACLs لري او مدیران کولی شي د دوی له لارې لاسرسی ورکړي یا رد کړي. تاسو اړتیا لرئ د ADUC لید مینو کې "پرمختللي" کلیک وکړئ او بیا کله چې تاسو کارن خلاص کړئ تاسو به د "امنیت" ټب وګورئ چیرې چې تاسو ACL تنظیم کړی.
زما د کرویلا سناریو کې، ما نه غوښتل چې ټول مستند شوي کاروونکي د هغې شخصي معلومات وګوري، نو ما دوی ته د لوستلو لاسرسی رد کړ:
او اوس یو عادي کارونکی به دا وګوري که دوی په پاور ویو کې د Get-NetUser هڅه وکړي:
ما وکولی شول په ښکاره ډول ګټور معلومات د سترګو څخه پټ کړم. د دې لپاره چې دا اړونده کاروونکو ته د لاسرسي وړ وي، ما یو بل ACL رامینځته کړی ترڅو د VIP ګروپ غړو (کرویلا او د هغې نور لوړ پوړي همکاران) دې حساس معلوماتو ته لاسرسی ومومي. په بل عبارت، ما د رول ماډل پراساس د AD اجازې پلي کړې، کوم چې حساس معلومات د ډیرو کارمندانو لپاره د لاسرسي وړ ندي، په شمول د داخلي.
په هرصورت، تاسو کولی شئ د ګروپ غړیتوب کاروونکو ته د AD په اساس په ګروپ اعتراض کې د ACL په ترتیب کولو سره د کاروونکو لپاره پټ کړئ. دا به د محرمیت او امنیت شرایطو کې مرسته وکړي.
په هغه کې
زه وکولی شوم چې د VIP ګروپ کې د کرویلا او مونټي برنز غړیتوب پټ کړم، د هیکرانو او داخليانو لپاره د زیربنا کشف کول ستونزمن کړي.
دا پوسټ د دې لپاره و چې تاسو هڅوي چې ساحو ته نږدې کتنه وکړئ
AD او اړونده اجازه. AD یوه لویه سرچینه ده، مګر فکر وکړئ چې تاسو به څنګه
غوښتل چې محرم معلومات او شخصي معلومات شریک کړي، په ځانګړې توګه
کله چې ستاسو د ادارې لوړ پوړو چارواکو ته راځي.
سرچینه: www.habr.com