با سلام
یکی مهمترین مسائلی که برای مدیریت یک شبکه دامین مطرح میباشد ، ارائه مجوزهای دسترسی به گروهی است که وظیفه پشتیبانی از رایانه های سازمان را بر عهده دارند .
این گروه که گروه ساپورت نام دارد باید مجوز دسترسی روی همه کلاینت ها را داشته باشد، یعنی دسترسی ادمین روی آنها داشته باشد ، بتواند آنها را به دامین Join و یا Disjoin نماید و ...
در مورد سطح دسترسی ادمین رو کلاینت ها که اکثرا این مورد را میدانند . یکی از بهترین راهکار ها ، عضو نمودن گروه ساپورت در گروه Administrators تک تک رایانه ها میباشد . که برای این کار میتوان از Group Policy و قابلیت Restricted Group استفاده نمود . در لینک زیر میتوانید شیوه کار را مطالعه نمایید :How to use Restricted Groups
کد:
http://www.frickelsoft.net/blog/?p=13
چون بحث این تاپیک در خصوص ارائه مجوز Join و Disjoin به کاربران گروه ساپورت میباشد ، در مورد قابلیت Restricted Group به ارائه یک لینک بسنده شد .
برای ایجاد دسترسی برای گروه ساپورت ،در جهت Join نمودن کامپیوترها به دومین به چند روش میتوان عمل نمود :
1- یکی از سیاست های پیش فرض روی دومین کنترلر(DC) این است که هر کاربری (َAuthenticated Users) میتواند با اکانت دومین خود، تعداد 10 کامپیوتر را به دومین Join نماید . معنی این عدد 10 این است که توسط اکانت کاربر ، فقط 10 عدد Computer Account میتواند در اکتیودایرکتوری ساخته شود . این سیاست همانطور که اشاره شد مربوط به دومین کنترلر میباشد . برای دیدن و یا تغییر دادن این سیاست باید در تنظیمات پالیسی دومین کنترلر (Default Domain Controllers Policy) به قسمت زیر مراجعه نمود :
Add Workstation to domain
کد:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\
در این قسمت میتوانید گروه Authenticated Users را حذف و گروه مورد نظر خود (مثلا گروه ساپورت) را اضافه نمایید .
خب توسط این پالیسی گفتیم که چه کسی میتواند و چه کسی نمیتواند کامپیوتر را به دومین Join نماید . اما حرفی از تعداد نزدیم !
این تعداد توسط مشخصه ای به نام MS-DS-Machine-Account-Quota در دومین تنظیم میشود که میتوان آن را توسط ADSI Edit دید و تغییر داد:
یادمان باشد که این پالیسی (Add Workstation to domain) و این مشخصه (MS-DS-Machine-Account-Quota) مکمل یکدیگر هستند . یعنی اگر پالیسی را تغییر ندهیم و بگذاریم به صورت پیش فرض Auth Users بماند اما مشخصه گفته شده را به 0 تغییر دهیم دیگر همان Auth Users هم نمیتوانند هیچ کامپیوتری را به دامین Join نمایند . در واقع این مشخصه (MS-DS-Machine-Account-Quota) تعداد کامپیوترهای قابل Join برای گروهی را مشخص میکند که در پالیسی بالا قرار دارد .
اما Security Permission ها در این حالت چگونه میباشد ؟
زمانی که کامپیوتری توسط گروه مورد نظر به دومین Join میشود ، Domain Admins به عنوان Owner برای Computer Account تنظیم میگردد . یکسری دسترسی هم برای شخص Join کننده (عضو گروه ساپورت) روی Computer Account ست میشود که ما از این طریق میتوانیم بفهمیم که چک کسی این کامپیوتر را به دومین Join نموده است .
مشکلی که در استفاده از این روش وجود دارد این است که اگر کاربر1 ، کامپیوتری را به دامین Join نماید ، کاربر2 نمیتواند آنرا را تغییر نام بدهد . برای این کار نیاز است تا مجوزهای بیشتری به گروه پشتیبانی اعطا گردد که در ادامه توضیح داده خواهد شد .
ضمنا در این حالت گروه ساپورت قابلیت حذف (Delete) این Object ها را از طریق کنسول نخواهد داشت .
برای دیدن Permission مربوط به Object های اکتیو دایرکتوری باید از کنسول اکتیو و از منوی View گزینه Advanced Featuers را انتخاب و سپس در Properties مربوط به Object و در تب Securty دسترسی ها را مشاهده و یا ویرایش نمود .
2- راه دیگری که برای دادن مجوز به گروه ساپورت وجود دارد استفاده از قابلیت Delegation میباشد . در این حالت میتوان دسترسی های مورد نظر را به گروه مورد نظر و روی Object های مورد نظر ایجاد نمود . برای استفاده از این قابلیت میتوان روی Container ای که Computer Account ها به صورت پیش فرض ، بعد از Join شدن ، در آن قرار میگیرند ، این دسترسی را ایجاد نمود . با توجه به اینکه Container پیش فرض همان Computers در کنسول اکتیو میباشد دسترسی ها باید روی آن تنظیم گردد .
برای مدیریت بهتر هم میتوان یک OU ساخت و آن را به عنوان Container پیش فرض برای Computer Account ها در نظر گرفت . این کار توسط دستور Redircmp روی DC انجام میگیرد .
برای Delegete کردن یک دسترسی به دو طریق میتوان عمل نمود :
1- از طریق تب Security در Properties مربوط به Container .
2- از طریق Wizard
در حالت اول دسترسی ها به صورت مستقیم توسط تب Security تنظیم میگردد . برای دادن مجوز Join به گروه ساپورت ، باید دسترسی Create Computer Account به گروه مورد نظر داده شود . اگر دسترسی ها کم و زیاد داده شود ممکن است مشکل امنیتی برای اکتیو دایرکتوری به وجود بیاد و یا در کار گروه ساپورت خلل ایجاد نماید .
استفاده از این روش ، مستلزم داشتن دانش کافی در مورد این دسترسی ها میباشد که اکثرا این دانش را ندارند .
حالت دوم ساده تر و انعطاف پذیرتر از حالت اول میباشد . در این حالت اعطای مجوز ها از طریق یک Wizard انجام میگیرد . برای این کار روی Container مورد نظر کلیک راست و گزینه Delegete Control را انتخاب مینماییم . در طول Wizard ابتدا گروه مورد نظر و سپس دسترسی های مورد نیاز آن را انتخاب مینماییم .
به طور پیش فرض انتخاب های محدودی برای انتخاب مجوز ها در این Wizard وجود دارد . اما میتوان آنها را با توجه به نیازهای خود تغییر داد . برای این کار باید فایل Delegwiz.inf را روی دومین کنترلر ویرایش نمود . این فایل در سرور2003 در مسیر c:\Windows\Inf و در ویندوزهای 2008r2 در مسیر c:\windows\system32 قرار دارد . نمونه ی کاملی از این فایل را میتوان در مسیر زیر مشاهده نمود :
کد:
http://technet.microsoft.com/en-us/library/cc772784%28WS.10%29.aspx
در اینجا هم توضیحات بسیار کاملی در مورد این فایل توسط آقای پاتریس ارائه شده است :
کد:
http://social.technet.microsoft.com/Forums/windowsserver/en-US/3ca3a70c-8099-4a64-bc75-bea89646c4e1/delegate-specific-permission-to-domain-user#08f9f23e-84f6-4b4f-8958-3e9bacb02c12
در هنگام استفاده از این فایل ، Template های زیادی از جمله join Computer to domain ، به قسمت مجوزها در Delegetaion Wizard اضافه میشود که میتوان از آن برای منظورمان استفاده نماییم.
اما Securiity Permission ها در حالت استفاده از Delegation به چه صورت میباشد ؟
در این حالت هر کاربری ، هر کامپیوتری را که به دومین Join نماید به عنوان Owner برای آن در نظر گرفته میشود . در این حالت، کاربر تقریبا تمام دسترسی ها روی Computer Object را دارد و میتواند حتی آن را از کنسول اکتیودایرکتوری Delete نماید . که این امر در مواقعی که کنسول اکتیو به گروه ساپورت واگذار شده است میتواند خطرناک باشد .
3 - عضو کردن گروه ساپورت در گروههای مثل Domain Admins و یا Account Operator که در این حالت کاربران گروه ساپورت بدون هیچ مشکلی میتوانند کار کنند اما بعد از اعطای این مجوز ، بهتره که اکتیو دایرکتوری را بوسید گذاشت کنار
نتیجه گیری :
به نظر من یکی از راههای مناسب برای اعطای مجوز به گروه پشتیبانی استفاده از هر دوحالت میباشد . یعنی گروه پشتیبانی در پالیسی Add workstation to domain اضافه و عدد مثلا 5000 برای مشخصه MS-DS-Machine-Account-Quota در نظر گرفته شود . سپس برای رفع مشکل Rename نمودن کامپیوترهای Join شده توسط کاربرانی غیر از کاربر Join کننده ، روی Container مورد نظر و از طریق ویزارد و فایل به روز شده ، امکان Rename Computer Account به گروه ساپورت داده شود . این حالت کاملا تست شده و کاربردی میباشد .
امیدوارم این تاپیک برای دوستان مفید واقع گردد .
یا علی .
موضوعات مشابه: