به آکادمی آتی نگر خوش آمدید

دسته‌ها: امنیت شبکه | مقالات
مرداد ۲۵, ۱۳۹۵ | دیدگاه‌ها: بدون دیدگاه

در قسمت اول با Group Policy در اکتیو دایرکتوری آشنا شدیم. در این قسمت به ده نکته مهم در تنظیمات Active Directory اشاره میگردد.

۱ – تعیین Trust متناسب با نیاز

پیش از این که یک Domain Trust را اعمال کنید، باید از متناسب بودن نوع آن با وظایفی که قرار است برعهده داشته باشد، اطمینان حاصل کنید. هر Trust باید خصوصیات زیر را داشته باشد:

Type: مشخص کننده نوع دامین هایی که در ارتباط با trust هستند.
Transitivity: تعیین می کند که آیا یک Trust می تواند به یک دامین Trust دیگر از طریق دامین سوم دسترسی داشته باشد.
Direction: مشخص کننده مسیر دسترسی و Trust (اکانت ها و منابع Trust)

۲ – با کنسول Active Directory Domains AND Trusts Console آشنا شوید

روابط بین Trustها از طریق کنسول Active Directory Domains AND Trusts Console مدیریت می شود. این کنسول به شما اجازه خواهد داد تا اعمال اساسی زیر را انجام دهید:

– ارتقای سطح عملیاتی دامین
– ارتقای سطح عملیاتی Forest
– افزودن Suffixهای UPN
– مدیریت Domain Trust
– مدیریت Forest Trust

 

۳ – آشنایی با ابزار
همانند دیگر اجزای خانواده ویندوز سرور، ابزار خط فرمان می تواند برای انجام فرامین تکراری یا جهت اطمینان از سازگاری و هماهنگی در زمان ایجاد Trustها به کار آید. برخی از این ابزارها عبارتند از:

– NETDOM: برای برقرار کردن یا شکستن انواع Trustها استفاده می شود.
– NETDIAG: خروجی این ابزار وضعیت پایه ای را در روابط بین Trustها به دست می دهد.
– NLTEST: برای آزمایش ارتباطات Trust می توان از آن استفاده کرد.

شما همچنین می توانید از ویندوز اکسپلورر برای مشاهده عضویت ها در منابع مشترک آن گونه که در دامین های Trust و/ یا Forest تعریف شده، استفاده کنید. کاربران AD همچنین می توانند جزئیات عضویت آبجکت های اکتیو دایرکتوری ای که اعضایی از دامین های Trust و/ یا Forest دارند، مشاهده کنند.

۴ – ایجاد یک محیط آزمایشی
بسته به محیط و نیازمندی های شما، یک اشتباه ساده در ایجاد Trust دامین ها می تواند به بازتاب هایی در سطح کل سازمان منجر شود. با وجود این، فراهم ساختن یک محیط آزمایش مشابه برای Replicate کردن موارد مربوط به چندین دامین و فارست کار دشواری خواهد بود. ایجاد دامین هایی برای سناریوهای مشابه کار آسان تری بوده که برای استحکام زیرساخت ها و آزمایش کارکردهای اساسی می توان از آنان استفاده کرد.

علاوه بر این، قبل از استفاده از گروه های زنده، اکانت ها و آبجکت های دیگر، به آزمایش الگوی آبجکت ها دایرکتوری روی روابط دامین زنده توجه کنید تا مطمئن شوید که میزان دلخواه عاملیت به دست آمده، نه بیشتر.

۵ – مجوزها را بازبینی کنید
وقتی Trustها ایجاد شدند باید از عملکرد دلخواه آنان اطمینان حاصل شود. اما مطمئن شوید که برای بررسی صحت جهت دسترسی، Trust پیکربندی شده دوباره بازبینی شود. به عنوان مثال، چنان چه دامین A باید فقط به منابع معدودی روی دامین B دسترسی داشته باشد، یک Trust دو طرفه کفایت خواهد کرد.

هرچند ممکن است لازم باشد یکی از مدیران دامین B بتواند به تمام منابع دامین A دسترسی داشته باشد. از صحت جهت و سمت، نوع و Transitivity همه Trustها اطمینان حاصل کنید.

۶ – طرح Trustها را تهیه کنید
نقشه ای ساده با استفاده از پیکان ها و جعبه هایی که نمایان گر دامین های دارای Trust، ارتباط آنان با یکدیگر و این که این Trustها یک طرفه هستند یا دو طرفه تهیه کنید. با استفاده از تصویر (های) ساده مشخص کنید، کدام دامین به کدام دامین دیگر Trust دارد و Transitivity آن ها را نمایش دهید.

مطالب پیشنهادی:  هر آنچه که باید در مورد مجازی سازی بدانید…قسمت اول: معرفی

این جدول ساده موجب درک بهتر وظایف محوله شده و به شما اجازه خواهد داد تا دامین های نیازمند به جهت دسترسی (Access Direction) و همچنین جهت صحیح را مشخص ساخته و نمایش دهید. برخی از دامین ها فقط نقش یک دروازه ساده را برای دسترسی به دیگر دامین ها ایفا می کنند.

۷ – ارتباطات بین Trustها را مستند کنید
امروزه، سازمان ها دائم در حال پیوستن و جدا شدن از یکدیگر هستند. به همین دلیل، این نکته اهمیت دارد که نقشه واضحی از ارتباط بین دامین ها و Trustهای بینابین تهیه شده تا همواره از وجود اطلاعات لازم بدون نیاز به مراجعه به کدهای مربوطه اطمینان حاصل شود.
به عنوان مثال، اگر شما روی دامین B قرار داشته باشید و دفتر مرکزی شما روی دامین A نمایندگی شما را ابطال و Trust را قطع کند، یک سند کوچک و مختصر که قبلاً روی دامین A ذخیره شده کمک بسیار بزرگی برای شما خواهد بود.

نوع Trust، جهت، ملزومات تجاری مورد نیاز برای آن Trust، مدت اعتبار پیش بینی شده برای Trust، مجوز، اطلاعات پایه ای دامین و فارست (شامل نام، DNS، آدرس IP، مکان فیزیکی، نام کامپیوترها و…) و اطلاعات تماس فرد یا افراد مسئول دامین ها از اطلاعاتی هستند که ذخیره سازی آنان در یک محل مطمئن بسیاری از کارها را آسان تر خواهد کرد.

۸ – از پیچیده کردن ارتباط Trustها پرهیز کنید
برای صرفه جویی در وقت و زمان، از جلو بردن عضویت ها در بیش از یک لایه هنگام کار و استفاده از Trust در دامین ها و فارست های چندگانه پرهیز کنید. با این که تودر تو کردن عضویت ها می تواند به یکپارچگی و کاهش آبجکت های قابل مدیریت در AD کمک کند، اما این کار موجب افزایش میزان تصمیم گیری در مدیریت اعضا خواهد شد.

۹ – چگونگی مدیریت نسخه های مختلف ویندوز
وقتی AD را روی ویندوز ۲۰۰۰ و ویندوز سرور ۲۰۰۳ اجرا می کنید، امکانات کامل برای دامین ها و فارست های عضو فراهم خواهد بود. چنان چه هرگونه سیستم عضو یا دامین NT در سازمان حضور داشته باشند، امکانات ورودی Trust آن ها به دلیل ناتوانی در شناسایی آبجکت های AD محدود خواهد شد. راه حل عمومی این سناریو ایجاد «دامین های جزیره ای» برای آن دسته از افرادی است که معمولاً به ساختارهای عمومی سازمان متصل نمی شوند.

۱۰ – اTrust های منقضی و Overlap شده را پاک کنید
تغییرات ایجاد شده در روابط مابین سازمان های تجاری ممکن است موجب برجای گذاشتن تعدادی از Trustهای بدون استفاده در دامین شما شود. هرگونه تراستی را که به عنوان فعال مورد استفاده قرار نمی گیرد، از روی دامین بردارید. همچنین از تنظیم صحیح تراست موجود و مطابقت آن ها با دسترسی مورد نیاز و الگوی استفاده اطمینان حاصل کنید. بازرسی و رسیدگی به جدول تراست می تواند مکمل خوبی برای سیاست های استحکام یافته امنیتی شما به حساب آید.

نکاتی در مورد Active Directory …قسمت دوم
5 امتیاز (100%) 1 رای

هیچ نظری وجود ندارد

با عضویت در خبرنامه از آخرین مقاله های مربوط به شبکه و تخفیف های تجهیزات شبکه با اطلاع شوید: