Delegation

اکتیو دایرکتوری معمولا به عنوان یک سامانه مرکزی امنیتی و تعیین هویت توسط سازمان ها شناخته می شود که سبب کاهش هزینه های نگه داری و مدیریت ساده تر روی کاربران می شود. اما همواره برخی سازمان ها، به ویژه سازمان های کوچک و سازمان های با بروکراسی، با سوالاتی نظیر، اگر مدیریت غیر مرکزی در بخش ها مختلف لازم باشد، آیا مدیران هر بخش دسترسی به اندازه کافی محدودی دارند، مدیریت روی یک شیئ موجود در data store اکتیو دایرکتوری فقط توسط مدیر موجه می تواند صورت گیرد و سوالاتی از این قبیل دارند. برخی از مدیران شبکه برای این دسته از موضوعات به راهکار دامین های چند تایی روی می آورد. راهکار دامین های چند تایی با توجه به هزینه دار بودن و بسیاری موارد دیگر، اغلب راهکار مناسبی نیست. در طراحی های اکتیو دایرکتوری در ویندوز سرور ۲۰۰۸ همواره می کوشیم تا از ایجاد دامین های چندتایی جلوگیری شود. این گونه سوالات همواره جوابشان نحوه Delegation است. همچنین بدیهی است تمام اعمال مدیریتی توسط مدیر هر بخش نمی تواند صورت گیرد و در بسیاری از مورارد همانند ریست کردن پسورد های فراموش شده لازم است به پشتیبانی محول گردد. Delegation به این معنا است که یک مدیر بالاتر، یک کاربر دیگر را قادر می سازد تا برخی از توانایی های مدیریتی خود را انجام دهد. ساختار اکتیو دایرکتوری یک ساختار سلسه مراتبی است. ابتدا در سطح ساختار جنگل و دامین ها، سایت ها و سپس در سطح واحد های سازمانی (OU). این ساختار سلسه مراتبی علاوه بر تمام ویژگی هایی که ایجاد می کند، قابلیت های قدرتمندی برای تنظیم مجوز های دسترسی و Delegation فعالیت های مدیریتی ایجاد می کند. وظایف مدیریتی در اکتیو دایرکتوری شامل دو دسته هستند که در جدول زیر آمده است:

دسته وظایف
Data mangement
  • Account mangement
  • Security Group mangement
  • Resource mangement
  • Group Policy mangement
  • Application Specific Data mangement
Service mangement
  • Trust mangement
  • Directory Data Store mangement
  • Schema mangement
  • Operation Master Roles mangement
  • Backup & Restore mangement
  • Replication mangement
  • Security Policy mangement

دسترسی به اشیاء در اکتیو دایرکتوری

زمانی که کاربر در محیط اکتیو دایرکتوری Logon می کند، یک Token دسترسی دریافت می کند که شامل SID شیئ User Account او است. همچنین این Token شامل SID تمام Security Group هایی که کاربر در آن عضو است می باشد. هر Object دارای یک Security Descriptor است که شامل اجزای زیر است:

  • Obejct Owner: به صورت پیش فرض Creator شیئ Owner آن است. تا زمانی که Take Ownership روی شیئ صورت نگرفته باشد، SID اکانت مربوطه در این فیلد قرار دارد.
  • Primary Group: این اطلاعات فقط توسط POSIX یا Portable Operating System Interface for Unix استفاده می شود و شامل  Primary Group مالک است.
  • DACL: لیستی از ACE ها که جهت کنترل دسترسی به کار می رود.
  • SACL: لیستی که سیاست های بازبینی (Auditing) را معین می کند.

image

تصویر ۱-۱: ارتباط User Access Token و Object Security Descriptor

یادآوری: ACE کوتاه شده ی Access Controll Entery و ACL کوتاه شده Access Controll List است. جهت اطلاعات بیشتر و نحوه محاسبه مجوز های موثر به مجوز های NTFS مراجعه شود.

برای هر شیئ در اکتیو دایرکتوری یک لیست کنترل دسترسی وجود دارد. به عبارت دیگر، در هر یک از ابزار ها که اشیاء قابل دسترسی باشند این مجوز ها اعمال می شوند. هر چند متداول ترین ابزار برای تنظیم مجوز ها کنسول Active Directory Users & Computers است، اما از هر ابزار دیگر همانند ldp.exe یا ADSI Edit نیز اعمال می شوند. در اینجا از همان ابزار متداول Active Directory Users & Computers و سپس ldp استفاده می کنیم.

  1. در کنسول Active Directory Users & Computers از منوی View گزینه Advanced Features را Checked می کنیم.
  2. روی شیئ مورد نظر Right click کرده و Properties را کلیک می کنیم.
  3. در tab (زبانه) Security لیست ACL را مشاهده می کنیم. در اینجا مشابه مجوز های NTFS به اعمال مجوز ها می پردازیم. با توجه به نوع شیئ مجوز های مختلفی قابل اعمال هستند.

ldp

ldp یک ابزار گرافیکی برای انجام برخی عملیات متداول روی هر دایرکتوری سازگار با LDAP است. ldp می تواند برای مشاهده metadata های پیشرفته در Active Directory نیز مورد استفاده قرار گیرد.

  1. در Run وارد کنید ldp.exe.
  2. از منوی Connection گزینه Connect را بزنید.
  3. اگر Sever را خالی بگذارید به local computer متصل می شود. می توانید نام سرور مورد نظر را وارد کنید.
  4. سپس در منوی Connection گزینه bind را بزنید. اگر با User Account ای که logon کرده اید مجوز های دسترسی لازم را ندارد، Credential لازم را وارد کنید.
  5. سپس در منوی View گزینه Tree را انتخاب کنید.
  6. برای مشاهده تمام دامین Ok را بزنید و ساختار OU نمایش داده می شود.
  7. برای مشاهده ACL هر شیئ روی آن Right Click کنید و Advanced را بزنید سپس روی Security Descriptor کلیک کنید.
  8. امکان ویرایش ACL نیز وجود دارد.

bind-as-currently-logged-on-user acl-editor

Delegation Of Control Wizard

برای سهولت انجام Delegation می توان از ویزارد معروف آن استفاده کرد. متداولا Delegation روی OU ها انجام می شود، اما می توان روی هر container دیگر همانند container های Users  و Computers نیز انجام داد. در اینجا گروه Help Desk را می خواهیم قادر کنیم تا Password کاربران را بتوانند reset کنند. استفاده از این ویزارد برای انجام Delegation توصیه می شود.

  1. در کنسول Active Directory Users & Computers و روی شیئ مورد نظر right click کنید و سپس Delegate Controll را بزنید.در ویزارد باز شده Next را بزنید.
    sshot20091212041054
  2. سپس کاربران یا گروهی که می خواهید وظیفه ای به آن ها Delegate کنید را انتخاب کنید.
    sshot20091212041102
  3. در مرحله بعدی، وظایف مطلوب مشخص شده را اختصاص دهید.
    sshot20091212041216
  4. در پایان Wizard ضمن بازبینی تغییرات، Finish را بزنید.
  5. برای بازبینی دسترسی ها، می توانید از دستور dsacls.exe استفاده کنید. به عنوان مثال:

dsacls.exe “ou=SaleOffice,dc=erfantaheri,dc=com”

2 دیدگاه در Delegation

  1. سایت مفیدترین از شما دوست عزیز دعوت میکند هر روز به صورت رایگان لینکهای مفید خود را در این سایت ثبت کنید و به لینکهای سایر دوستان خود در سایت رای بدهید فعلا به مدت محدود عضویت برای شما بدون نیاز به دعوتنامه خواهد بود پس لطفا سریعتر برای انتشار لینکهای مفید خود در مفیدترین اقدام نمایید.
    منتظر حضور شما هستیم
    با تشکر
    http://www.mofidtarin.com

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *