برای مطالعه قسمت قبل آموزش رایگان ویندوز سرور 2019 اینجا کلیک کنید.
Dynamic Access Control
در کنار قابلیتهای شاخصی که در ارتباط با اکتیو دایرکتوری به آنها اشاره کردیم، مرکز مدیریت اکتیو دایرکتوری یکسری عملکردهای جدید در اختیار ما قرار داده است که ابزارهای کلاسیک موجود فاقد چنین قابلیتهایی هستند. اگر ابزار فوق را باز کرده و به درخت سمت چپ ابزار فوق نگاهی بیندازید، گزینهای به نام کنترل دسترسی پویا (DAC) سرنام Dynamic Access Control را مشاهده میکنید. کنترل دسترسی پویا، فناوری است که ماژولهای امنیتی لازم برای نظارت بر فایلها و محافظت از دادههای حساس سازمانی را در اختیارتان قرار میدهد تا اجازه ندهید افراد غیرمجاز به دادهها دسترسی پیدا کرده یا آنها را ویرایش کنند. DAC به شما این امکان میدهد تا به برچسبگذاری فایلها پرداخته و بر مبنای برچسبها به طبقهبندی فایلها بپردازید. در ادامه میتوانید خطمشیهای کنترل دسترسی را ایجاد کرده و به افراد اجازه دهید بر مبنای برچسبهایی که تعیین کردهاید به فایلهای مشخصی دسترسی داشته باشند. یکی دیگر از ویژگیهای قدرتمند کنترل دسترسی پویا، قابلیت گزارشدهی است. هنگامی که DAC در محیط شبکه ایجاد و اجرا شد، در ادامه میتوانید گزارشهایی در ارتباط با فایلهای خود ایجاد کنید و بهطور مثال فهرستی از افرادی که اخیراً به یک سند طبقهبندی شده دسترسی داشتهاند را پیدا کنید.
DAC همچنین میتواند برای تغییر مجوزهای کاربران بر اساس نوع دستگاهی که در حال حاضر از آن استفاده میکنند، بهکارگرفته شود. بهطور مثال، اگر کاربر بخش مدیریت منابع انسانی با دسکتاپ شرکت به شبکه وارد میشود، باید به پروندههای حساس منابع انسانی دسترسی داشته باشد و در مقابل اگر از لپتاپ شخصی خود در محیط کار برای اتصال به شبکه استفاده میکند، نباید اجازه دسترسی به فایلها را پیدا کند. این نوع تمایزها را میتوان با استفاده از خط مشیهای کنترل دسترسی پویا مدیریت کرد.
کنترلکننده دامنه فقط خواندنی
ما نمیتوانیم بدون پرداختن به جزییات کنترلکننده دامنه فقط خواندنی (RODC) سرنام Read-Only Domain Controllers تمامی جزئیات مرتبط با مولفهها و ابزارهای مهم اکتیو دایرکتوری را بررسی کنیم. بهطور معمول، هنگام نصب کنترلکننده دامنه جدید روی یک شبکه، شما نقشی به کنترلکننده دامنه اضافه میکنید که اجازه میدهد، فرآیند نوشتن و انجام کارهای مختلف روی آن امکانپذیر باشد تا به این شکل کنترلکننده دامنه از تمامی نقشهای AD DS برای مدیریت هرچه بهتر سرورها استفاده کند. اما در برخی موارد، مجبور هستید یک کنترلکننده دامنه فقط خواندنی (RODC) را ایجاد کنید. یک دامنه فقط خواندنی یک نقش جداگانه نیست، بلکه به پیکربندی متفاوت AD DS اشاره دارد که در زمان تنظیم کنترلکننده دامنه باید آنرا اضافه کنید. ما در آموزش ایجاد و پیکربندی کنترلکننده دامنه به این موضوع اشاره کردیم. یک RODC یک کنترلر دامنه تخصصی است که شما نمیتوانید دادههای جدیدی به آن بنویسید. این مدل کنترلکنندههای دامنه یک نسخه ذخیره شده، فقط خواندنی از بخشهای خاص یک پوشه را نگهداری میکند. شما میتوانید به RODC بگویید که یک کپی از تمامی اعتبارنامههای دامنهتان را نگه دارد یا حتا میتوانید به آن بگویید که فقط فهرستی از اعتبارهای انتخابی را نگه دارد. اما دلیل استفاده از RODC چیست؟ شعب مختلف یک شرکت و DMZها (زیرشبکههای منطقی یا فیزیکی) رایجترین مثالهایی هستند که میتوان به آنها اشاره کرد. اگر شرکت شما شعبه کوچکی با کارمندان محدود دارد، ممکن است اضافه کردن یک کنترلکننده دامنه محلی برای انجام کارهای آن شعبه راهگشا باشد تا فرآیند ورود به شکل سریعتر و کارآمدتری انجام شود، اما به دلیل اینکه شما در مورد امنیت آن محیط اطمینان خاطر ندارید، تمایل دارید اطلاعات به شکل مستقیم از طریق شعبه محلی ویرایش نشوند. در چنین شرایطی بهکارگیری یک RODC راهحل مشکل است. مورد دیگر استفاده از یک RODC در ارتباط با یک شبکه ایمن DMZ است. شبکههای فوق به محیطهایی اشاره دارند که معمولا دسترسی بسیار محدود را ارائه میکنند، زیرا به اینترنت عمومی متصل هستند. برخی از سرورها و خدمات که درون یک شبکه DMZ قرار دارند، ممکن است به اکتیودایرکتوری نیاز داشته باشند، اما شما نمیخواهید یک کانال ارتباطی را از DMZ به یک کنترل کننده دامنه در شبکه خود باز کنید. در این حالت، میتوانید RODC را درون DMZ مستقر کنید تا اطلاعاتی را که برای سرویسدهی به آن سرورهای خاص در DMZ نیاز است در کنترلکننده دامنه فقط خواندنی ذخیره شود و به این شکل یک دامنه یا یک محیط فرعی بسیار ایمن درون شبکه DMZ ایجاد کنید.
قدرت منحصر به فرد Group Policy
در شبکهای که مبتنی بر سرورهای ویندوزی و اکتیودایرکتوری است، تقریباً مجموعه اصلی کامپیوترهای کلاینت مجهز به سیستمعامل ویندوز مایکروسافت هستند و همگی به یک دامنه متصل شدهاند. مدیریت همه اشیا و ابزارها از درون اکتیودایرکتوری نه تنها از منظر سازمانی رویکرد درست و منطقی است، بلکه امکان تأیید هویت متمرکز دستگاهها و برنامهها را نیز امکانپذیر میکند. اما چگونه میتوانیم خطمشی واحدی برای نظارت بر جنبههای مختلف دستگاهها و کاربران پیادهسازی کنیم؟ این خطمشیهای امنیتی چه هستند و چگونه باید آنها را تنظیم کرد؟ پاسخ در ابزاری به نام Group Policy نهفته است. Group Policy این امکان را فراهم میکند تا خطمشیهای اشیا گروه (GPO) را ایجاد کنید که شامل تنظیمات و پیکربندیهایی است که میخواهید روی کامپیوترها یا حسابهای کاربری در دامنه اکتیو دایرکتوری اعمال کنید. هنگامی که یک GPO را با تنظیمات مختلفی ایجاد کردید، در ادامه میتوانید این GPO را مطابق با نیازی کاری خود خطدهی کنید. اگر خطمشی خاصی دارید که قرار است روی همه سامانههای دسکتاپی اجرا شود، کافی است آنرا به واحد سازمانی (OU) یا گروه امنیتی مناسب در اکتیو دایرکتوری که میزبان تمامی رایانههای دسکتاپ متصل به دامنه است تخصیص دهید. ممکن است یک GPO ایجاد کردهاید که فقط روی کامپیوترهای ویندوز 7 اعمال شود، شما میتوانید با فیلتر کردن درست آن، کاری کنید که فقط کامپیوترهای مجهز به ویندوز 7 این خطمشی را دریافت کنند. جالب آنکه تنظیمات فوق به شکل خودکار اجرایی شده و کامپیوترهای عضو دامنه این خطمشی را دریافت میکنند. به عبارت دقیقتر، شما نیازی ندارید تا سامانههای کلاینتی را مجبور کنید تا تنظیمات مربوطه را دریافت کرده و اعمال کنند. با استفاده از خطمشی Group Policy تقریبا میتوانید هرگونه مولفه یا ابزاری در ویندوز را قفل کرده یا محدودیتهای دقیقی روی آنها اعمال کنید.
ممکن است به نقشهای موجود در ویندوز سرور 2019 خود نگاهی داشته باشید و نقشی به نام Group Policy را مشاهده نکنید. بله درست است، چنین نقشی وجود ندارد. در حقیقت اگر شما همگام با ما این آموزش را دنبال کرده باشید، Group Policy را بهطور کامل روی شبکه خود دارید. هر آنچه که Group Policy برای انجام کار خود به آن نیاز دارد، بخشی از Directory Domain Services است. بنابراین، اگر یک کنترلکننده دامنه در شبکه خود دارید، روی همان کنترلکننده دامنه Group Policy را در اختیار دارید، زیرا تمام اطلاعات مربوط به Group Policy داخل دایرکتوری ذخیره میشود. از آنجایی که نصب نقش AD DS همه آن چیزی است که شما برای استفاده از Group Policy به آن نیاز دارید و ما قبلا روی کنترلکننده در اختیار داریم، مستقیما به سراغ آن میرویم تا Group Policy را بهتر بشناسید. در طی این سالها با بسیاری از مشاغل کوچک کار کردهام که از سرور ویندوز استفاده میکردند و برخی از آنها هیچگاه به سراغ GPO نرفتند. به عبارت دیگر، شرکتها ابزار قدرتمندی در جعبه ابزار خود داشتند که هیچگاه از آن استفاده نکردند تا عمر مفید آن به پایان رسید! پس اجازه دهید نگاه دقیقتری به GPO داشته باشیم تا قدرت واقعی آن را بهتر درک کنیم.
خطمشی پیشفرض دامنه
ابتدا باید مشخص کنیم به چه بخشی از کنترلکننده دامنه خود باید برویم تا بتوانیم خطمشیهای اشیا گروه را ایجاد کرده و دستکاری کنیم. همانند سایر ابزارها، Server Manager یک زیرساخت مرکزی برای باز کردن کنسولها در اختیارتان قرار میدهد. با کلیک روی منوی Tools در Server Manager قادر هستید کنسول Group Policy Management را اجرا کنید. پس از باز شدن کنسول ، نام جنگل (Forest) خود را از درخت ناوبری در سمت چپ گسترش داده، سپس دامنه را گسترش داده و نام دامنه خود را انتخاب کنید.
درون این بخش، شما اشیا نام آشنایی را مشاهده میکنید، فهرستی از واحدهای سازمانی که ممکن است ایجاد کرده باشید، همراه با پوشههایی که به واحدهای سازمانی دیگر اشاره دارند، همگی درون این بخش قرار گرفتهاند.
در پایین نام دامنه خود یک GPO را مشاهده میکنید. این GPO بهطور پیشفرض هنگام نصب به اکتیو دایرکتوری متصل شده و تنظیمات آن روی هر کاربر و کامپیوتری که بخشی از پوشه دامنه است اعمال میشود. این GPO خطمشی پیشفرض دامنه (Default Domain Policy) نام دارد. از آنجایی که این GPO کاملاً فعال است و روی همه کاربران و کامپیوترها اعمال میشود، مکانی مشترک است که خطمشیهای واحد در ارتباط با گذرواژهها و قواعد امنیتی را روی همه کاربران اعمال میکند.
در شماره آینده آموزش رایگان ویندوز سرور 2019 با Group Policy بیشتر آشنا خواهیم شد.
برای مطالعه تمام بخشهای آموزش ویندوز سرور 2019 روی لینک زیر کلیک کنید:
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟