பயன்படுத்தி ஊடுருவல் சோதனை செய்துள்ளேன்
ஆனால் தனியுரிமை சிக்கல்கள் மற்றும் அவற்றை எவ்வாறு சரிசெய்வது என்பதைப் பற்றி பேசுவதற்கு முன், AD இல் சேமிக்கப்பட்ட தரவைப் பார்ப்போம்.
ஆக்டிவ் டைரக்டரி என்பது கார்ப்பரேட் ஃபேஸ்புக் ஆகும்
ஆனால் இந்த விஷயத்தில், நீங்கள் ஏற்கனவே எல்லோருடனும் நண்பர்களாகிவிட்டீர்கள்! உங்கள் சக பணியாளர்களின் விருப்பமான திரைப்படங்கள், புத்தகங்கள் அல்லது உணவகங்கள் பற்றி உங்களுக்குத் தெரியாமல் இருக்கலாம், ஆனால் AD இல் முக்கியமான தொடர்புத் தகவல் உள்ளது.
சிறப்பு தொழில்நுட்ப திறன்கள் இல்லாமல் ஹேக்கர்கள் மற்றும் உள் நபர்களால் கூட பயன்படுத்தக்கூடிய தரவு மற்றும் பிற துறைகள்.
கணினி நிர்வாகிகள் நிச்சயமாக கீழே உள்ள ஸ்கிரீன்ஷாட்டை நன்கு அறிந்திருக்கிறார்கள். இது செயலில் உள்ள டைரக்டரி பயனர்கள் மற்றும் கணினிகள் (ADUC) இடைமுகமாகும், அங்கு அவர்கள் பயனர் தகவலை அமைத்து திருத்துகிறார்கள் மற்றும் பயனர்களை பொருத்தமான குழுக்களுக்கு ஒதுக்குகிறார்கள்.
AD இல் பணியாளரின் பெயர், முகவரி மற்றும் தொலைபேசி எண் ஆகியவற்றிற்கான புலங்கள் உள்ளன, எனவே இது ஒரு தொலைபேசி கோப்பகத்தைப் போன்றது. ஆனால் இன்னும் நிறைய இருக்கிறது! பிற தாவல்களில் மின்னஞ்சல் மற்றும் இணைய முகவரி, வரி மேலாளர் மற்றும் குறிப்புகள் ஆகியவை அடங்கும்.
நிறுவனத்தில் உள்ள அனைவரும் இந்தத் தகவலைப் பார்க்க வேண்டுமா, குறிப்பாக ஒரு காலத்தில்
நிச்சயமாக இல்லை! ஒரு நிறுவனத்தின் உயர்மட்ட நிர்வாகத்தின் தரவுகள் அனைத்து ஊழியர்களுக்கும் கிடைக்கும்போது சிக்கல் அதிகரிக்கிறது.
அனைவருக்கும் PowerView
இங்குதான் PowerView செயல்பாட்டுக்கு வருகிறது. இது AD ஐ அணுகும் அடிப்படையான (மற்றும் குழப்பமான) Win32 செயல்பாடுகளுக்கு மிகவும் பயனர் நட்பு பவர்ஷெல் இடைமுகத்தை வழங்குகிறது. சுருக்கமாக:
இது AD புலங்களை மீட்டெடுப்பதை மிகக் குறுகிய cmdlet ஐ தட்டச்சு செய்வது போல எளிதாக்குகிறது.
நிறுவனத்தின் தலைவர்களில் ஒருவரான க்ரூயெல்லா டெவில்லின் ஊழியர் பற்றிய தகவல்களைச் சேகரிப்பதற்கான உதாரணத்தை எடுத்துக் கொள்வோம். இதைச் செய்ய, PowerView get-NetUser cmdlet ஐப் பயன்படுத்தவும்:
PowerView ஐ நிறுவுவது ஒரு பெரிய பிரச்சனை அல்ல - பக்கத்தில் நீங்களே பாருங்கள்
மேலே உள்ள ஸ்கிரீன்ஷாட்டில் இருந்து, க்ரூல்லாவைப் பற்றி ஒரு உள் நபர் விரைவாகக் கற்றுக்கொள்ள முடியும் என்பதை நீங்கள் காணலாம். "தகவல்" புலம் பயனரின் தனிப்பட்ட பழக்கவழக்கங்கள் மற்றும் கடவுச்சொல் பற்றிய தகவலை வெளிப்படுத்துவதையும் நீங்கள் கவனித்தீர்களா?
இது ஒரு தத்துவார்த்த சாத்தியம் அல்ல. இருந்து
ஆக்டிவ் டைரக்டரிக்கு அதன் சொந்த ACLகள் உள்ளன
AD பயனர்கள் மற்றும் கணினிகள் இடைமுகம் AD பொருள்களில் அனுமதிகளை அமைக்க உங்களை அனுமதிக்கிறது. AD இல் ACLகள் உள்ளன மற்றும் நிர்வாகிகள் அவற்றின் மூலம் அணுகலை வழங்கலாம் அல்லது மறுக்கலாம். நீங்கள் ADUC காட்சி மெனுவில் "மேம்பட்ட" என்பதைக் கிளிக் செய்ய வேண்டும், பின்னர் நீங்கள் பயனரைத் திறக்கும் போது நீங்கள் ACL ஐ அமைக்கும் "பாதுகாப்பு" தாவலைக் காண்பீர்கள்.
எனது Cruella சூழ்நிலையில், அனைத்து அங்கீகரிக்கப்பட்ட பயனர்களும் அவரது தனிப்பட்ட தகவலைப் பார்க்க வேண்டும் என்று நான் விரும்பவில்லை, அதனால் நான் அவர்களுக்கு வாசிப்பு அணுகலை மறுத்தேன்:
இப்போது பவர்வியூவில் Get-NetUserஐ முயற்சித்தால் ஒரு சாதாரண பயனர் இதைப் பார்ப்பார்:
துருவியறியும் கண்களிலிருந்து வெளிப்படையாக பயனுள்ள தகவல்களை மறைக்க முடிந்தது. தொடர்புடைய பயனர்களுக்கு அணுகக்கூடியதாக இருக்க, VIP குழுவின் உறுப்பினர்களை (Cruella மற்றும் அவரது மற்ற உயர்மட்ட சகாக்கள்) இந்த முக்கியமான தரவை அணுக அனுமதிக்க மற்றொரு ACL ஐ உருவாக்கினேன். வேறு வார்த்தைகளில் கூறுவதானால், நான் ஒரு முன்மாதிரியின் அடிப்படையில் AD அனுமதிகளை செயல்படுத்தினேன், இது இன்சைடர்கள் உட்பட பெரும்பாலான பணியாளர்களுக்கு முக்கியமான தரவை அணுக முடியாததாக ஆக்கியது.
இருப்பினும், குழு பொருளில் ACL ஐ அதற்கேற்ப AD இல் அமைப்பதன் மூலம், குழு உறுப்பினர்களை பயனர்களுக்கு கண்ணுக்கு தெரியாததாக மாற்றலாம். இது தனியுரிமை மற்றும் பாதுகாப்பிற்கு உதவும்.
அவரது
விஐபி குழுவில் உள்ள க்ரூல்லா மற்றும் மான்டி பர்ன்ஸ் உறுப்பினர்களை என்னால் மறைக்க முடிந்தது, இதனால் ஹேக்கர்கள் மற்றும் உள்கட்டமைப்பைத் தேடுவது கடினம்.
இந்த இடுகை புலங்களை உன்னிப்பாகக் கவனிக்க உங்களைத் தூண்டும் நோக்கம் கொண்டது
AD மற்றும் தொடர்புடைய அனுமதிகள். கி.பி ஒரு சிறந்த ஆதாரம், ஆனால் நீங்கள் எப்படி இருப்பீர்கள் என்று சிந்தியுங்கள்
குறிப்பாக ரகசிய தகவல் மற்றும் தனிப்பட்ட தரவைப் பகிர விரும்புகிறது
உங்கள் நிறுவனத்தின் உயர் அதிகாரிகளுக்கு வரும்போது.
ஆதாரம்: www.habr.com