بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
آموزش ساخت گروه | Group در اکتیودایرکتوری و مفهوم Security Group
چگونه در اکتیودایرکتوری گروه بسازیم؟ چگونه در گروه های اکتیودایرکتوری عضو شویم؟ در این مقاله شما را با مفهوم گروه های امنیتی یا Security Groups آشنا می کنم . در قسمت آموزش ساخت کاربر در اکتیودایرکتوری به شما آموزش دادیم که چگونه با استفاده از کنسول Active Directory Users and Computers حسابهای کاربری را ایجاد و مدیریت کنید . در این مقاله در خصوص مبحث گروه ها در اکتیودایرکتوری صحبت خواهیم کرد .
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
در محیط دامین وجود حسابهای کاربری بسیار ضروری و حیاتی است ، در حقیقت هر کاربر یک شناسه منحصر به فرد در شبکه شما محسوب می شود و این بدین معناست که شما میتوانید تمامی فعالیت های یک کاربر را در سطح شبکه پیگیری و شناسایی کنید . همچنین شما میتوانید برای هر کاربر سطوح دسترسی مناسبی جهت دسترسی به سرویس ایمیل و یا سرویس های دیگر مورد نیاز نیز تعریف کنید و تمامی آنها را در یک جا مدیریت و نگهداری کنید .
ممکن است که تعریف سطوح دسترسی برای هر کاربر کاری بسیار خوب به نظر برسد اما همیشه و در همه شرایط قابل پیاده سازی نیست . ایجاد و نگهداری کاربران کار بسیار زمانگیری برای شما محسوب می شود . تصور کنید در سازمانی هستید که هزاران کاربر دارد و شما مجبور هستید تنظیمات خود را برای هر یک از این کاربران بصورت جداگانه ایجاد کنید ، بطور یقین اینکار بسیار زمانگیر خواهد و دشوار خواهد بود . ایده من این است که حتی اگر شبکه کوچکی را مدیریت میکنید ، طوری آنرا مدیریت کنید که انگار یک شبکه بزرگ را مدیریت میکنید .
برای یادگیری مفاهیم و مباحث اولیه اکتیودایرکتوری و شبکه ، یادگیری دوره آموزش نتورک پلاس توصیه می شود
دلیل اینکار این هست که همیشه شبکه های در حال بزرگتر شدن و گسترش پیدا کردن هستند و بنابراین شبکه کوچک شما نیز به زودی ممکن است تبدیل به یک شبکه بسیار بزرگ شود . استفاده از روش های مدیریتی درست و پیشبینی آینده می تواند شما را در مدیریت این شبکه بزرگ که ممکن است بعد ها کابوس شبانه شما شود بسیار کمک کند .
در تجربه ای که در شبکه سازمان ها و نهاد های مختلف در کشور داشته ام ، یقین دارم که دنیای فناوری اطلاعات دنیایی است که همه روزه در حال پیشرفت و به روز رسانی است و شما نیز از این قضیه استثناء نیستید ، بایستی با عمل روز جلو بروید و دنیای واقعی کار را تجربه کنید .
سالها پیش در یک سازمانی که مرتبط با تامین اجتماعی بود در زمینه شبکه فعالیت میکردم ، شبکه این سازمان در ابتدا بسیار کوچک بود . شاید حداکثر 50 عدد سیستم در این شبکه وجود داشت ، خانمی که در آنجا به عنوان مدیر شبکه فعالیت میکرد شبکه را طوری طراحی کرده بود که صرفا همدیگر را ببینند و هیچگونه مدیریتی بر روی این شبکه وجود نداشت ، این خانم نه تنها دانش لازم را برای مدیریت این شبکه نداشت بلکه علاقه ای به نظم دادن به این فرآیند نیز از خود نشان نمی داد . در این شبکه هر کاربر مدیر سیستم خود بود و امنیت هر کامپیوتر بر اساس میزان دانشی بود که هر کاربر در خصوص کامپیوتر دارد .
البته در آن زمان نیاز چندانی نیز به مدیریت این سیستم وجود نداشت جون تعداد کاربران زیاد نبود و نیازی هم به اینکار احساس نمی شد . مدیریت کاربران و سطوح دسترسی بسیار ساده و راحت انجام می شد . بعد از گذشت تقریبا دو سال از ماجرا در حدود 200 عدد کامپیوتر به شبکه این سازمان اضافه شد و دیگر نمیتوانستیم بگوییم شبکه کوچک است . بعد از گذشت تنها 4 سال بیش از هزار کامپیوتر در این شبکه وجود داشت !!!!
خوب تصور کنید که در چنین شبکه ای قرار گرفتین ، میبینید که چقدر راحت تبدیل به یک کابوس شبانه شد ؟ ممکن است برخی از این مکشلاتی که در اثر بزرگ شدن شبکه به وجود می آیند بر اثر مشکلات سخت افزاری باشند اما بیشترین مشکل در خصوص عدم توانایی لازم در مدیریت کاربران این شبکه بوجود خواهد آمد .
تصور کنید که در این شبکه که هزاران کاربر دارد حتی برای تعریف دسترسی برای کاربران یک قسمت بایستی همه آنها را تک تک مدیریت و تعیین دسترسی کنید . !!!! فاجعست !!! گسترده شدن هر چه بیشتر شبکه شما در صورتیکه نقشه مشخصی برای مدیریت کاربران خود نداشته باشید به معنای واقعی خانمان بر انداز است !!!! نمی گویم تصور کنید چون نمیتوانید تصور کنید که چه مشکلاتی بوجود خوهد آمد .
همانطوری که اشاره کردم تنظیمات شبکه و امنیت بر اساس هر کاربر در شبکه انجام می شد . این بدین معناست که اگر مسئول یکی از قسمت های سازمان پیش شما بیابد و بگوید می خواهم بدانم چه کسی به این فایل در شبکه دسترسی داشته است .
برای یادگیری دوره های مهندسی شبکه مایکروسافت ، یادگیری دوره آموزشی MCSA به شدت توصیه می شود
شما مجبور هستید که تک تک کاربران شبکه را بایستی چک کنید که چکاری انجام داده اند . اگر تعداد کاربران شبکه شما کمتر از 100 تا باشد شما براحتی 20 دقیقه زمان نیاز خواهید داشت تا متوجه شوید که چه کسی به منبع مورد نظر دسترسی داشته است ، اگر 1000 کاربر داشتید چطور ؟ اگر درخواست ها بیش از 10 درخواست در طی روز باشد چطور ؟
کلا کار را تعطیل کرده و فقط اینکار را انجام دهید . تمامی مشکلاتی که تا بحال در مورد آنها بحث کردیم در صورت استفاده از گروه ها مرتفع خواهند شد . نکته ساده اما اساسی در ساختار گروه ها این است که گروه ها میتوانند شامل چندین کاربر باشند و کاربران در آنها عضو شوند .
شما به جای اینکه به تک تک کاربران سطوج دسترسی بدهید کافیست به گروهی که کاربر در آن عضویت دارد دسترسی مورد نیاز را بدهید و این دسترسی به کاربران آن گروه اعمال خواهد شد . در این حالت کافیست مطمئن شوید که کاربر عضو فلان گروه است و همین باعث می شود که دسترسی های آن گروه به وی اعمال شود .
شاید یک مقدار مبهم به نظر برسد اما برای اینکه برای شما بهتر این موضوع درک شود من روش این کار را برایتان توضیح میدهم . فرض کنید که بر روی یکی از فایل سرور های شما پوشه ای به نام Data قرار گرفته است .به جای اینکه بیایبم و به تک تک کاربران برای آن پوشه دسترسی بدهیم به جای اینکار یک گروه ایجاد می کنیم .
برای اینکار کنسول معروف Active Directory Users and Computers را باز میکنیم ، در Container به نام Users راست کلیک کرده و NEw و سپس Group را انتخاب می کنیم . در این قسمت شما شکلی شبیه شکل الف را مشاهده خواهید کرد ، در ساده ترین حالت شما باید یک نام برای گروه خود انتخاب کنید . برای راحتی کار اسم گروه را Data میگذاریم ، نامگذاری را بر اساس نوع کاربرد تعیین کنید . در حال حاضر در خصوص نوع گروه که چگونه باشد فکر نکنید و پیشفرض را در نظر بگیرید . در مورد گروه ها و انواع آنها بصورت کامل در مقاله بعدی صحبت خواهم کرد .
- شکل الف : یک نام برای گروه خود انتخاب کنید
بعد از اینکه OK را زدید ، گروه مورد نظر در Container با نام Users مشابه شکل ب ایجاد خواهد شد . دقت کنید که آیکن گروه دارای دو عدد سر است که نمایانگر این است که شیء از نوع گروه است و اگر یک سر داشت شیء از توع کاربر است .
- شکل ب : گروه Data در اینجا ساخته شده است .
بر روی گروهی که ساخته اید دوبار کلیک کنید و یا وارد Properties این گروه شوید . در قسمت Members شما اعضای این گروه را می توانید مشاهده کنید و با استفاده از گزینه Add می توانید کاربران خود را به این گروه اضافه کنید . حسابهای کاربری که شما به این گروه اضافه میکند را اعضای گروه می نامند .شما می توانید تب Members را در شکل ج مشاهده کنید .
- شکل ج : تب Member تمامی اعضای این گروه را به شما نمایش خواهد داد
حالا زمان آن رسیده که گروه را وارد کار عملیاتی کنیم . بر ایانکار کافیست بر روی پوشه Data راست کلیک کرده و Properties را انتخاب کنیم . به تب Security رفته و بر روی گزینه Add کلیک کنید . در این لحظه نام گروه مورد نظر را وارد کرده و بعد OK را بزنید . شما الام می توانید دسترسی های مورد نظر خود را به این گروه بدهید .
بعد از اینکه دسترسی های مورد نیاز گروه را به آن دادید کافیست کلید OK یا Apply را بزنید تا تنظیمات شما اعمال شود . همانطور که در شکل د مشاهده میکنید ، تعدادی دسترسی وجود دارند که بصورت پیشفرض به گروه اعمال شده اند . بهتر این است که کلیه این دسترسی های پیشفرض را حذف کرده و از نو همه دسترسی ها را تعیین کنید ، دلیل اینکار این است که شما را از دادن دسترسی اتقاقی به افراد غیر مصون نگه می دارد .
- شکل د : گروه Data به سطوح دسترسی مربوط به پوشه Data اضافه شده است
به خاطر دارید که چقدر دشوار بود برای اینکه بخواهید بفهمید که چه کاربردی با چه سطح دسترسی به پوشه مورد نظر متصل شده است ؟ خوب وقتی پای گروه ها به میان میاید این فرآیند بسیار ساده خواهد شد . شما برای اینکه متوجه شوید چه کاربرانی به پوشه دسترسی دارند کافیست بررسی کنید که چه کسانی عضو این گروه هستند .
شما براحتی با بررسی اعضای گروه که در شکل ج مشاهده کردید میتوانید دسترسی های آنها را به پوشه بررسی کنید . اگر کاربران دیگری نیاز به دسترسی به پوشه مورد نظر را داشته باشند شما به سادگی میتوانید آنها را در گروه Data قرار داده و خیالتان راحت باشد که دسترسی های مجاز را تنها با این کار ساده به وی داده اید . در غیر اینصورت بایستی تک تک کاربران را در قسمت Security برای پوشه و سیستم تعریف میکردید .