اهمیت و جایگاه اکتیو دایرکتوری در سازمان ها
بدون اغراق، AD را میتوان به عنوان قلب زیر ساخت فناوری اطلاعات هر سازمانی در نظر گرفت. از زمان ارائهی AD به همراه ویندوز 2000، این سرویس جایگاه ویژهای برای مدیریت و ایمنسازی محیطهای مبتنی بر سیستم عامل ویندوز به دست آورده است.
نقش AD در مدیریت سطوح دسترسی به منابع اطلاعاتی سازمان و مدیریت کاربران به شدت افزایش پیدا کرده است و از آنجا که سیستم عامل ویندوز به صورت پیش فرض ابزارها و امکانات پیشرفتهای برای مدیریت AD ارائه نمیدهد، بسیاری از مدیران IT و راهبران شبکه با چالش های زیادی در این زمینه روبرو هستند.
دسترسی غیرمجاز به AD، کلیدی جهت دسترسی به منابع اطلاعاتی و سایر سرویسها و نرمافزارهای کاربردی سازمان است، لذا شما باید از راهکاری جامع و پیشرفته برای مدیریت، گزارشگیری و نظارت AD بهرمند باشید.
معماری برنا چگونه است؟
در شکل 1معماری کلان نرمافزار برنا نشان داده شده است. توجه داشته باشید که امکان مشاهدهی دموی آنلاین و رایگاه برنا وجود دارد.
با توجه به دیاگرام فوق:
· کارشناسان IT نیازی به دسترسی مستقیم به سرور دامین کنترلر و یا استفاده از ابزارهای پیش فرض سیستم عامل مانند ADUC نخواهند داشت.
· کارشناسان IT از طریق واسط کاربری تحت وب برنا و یا با استفاده از نرم افزار Android/IOS برنا به AD دسترسی خواهند داشت.
· دسترسی کارشناسان به دو روش کنترل میشود:
o سطح دسترسی بر اساس محدوده دامین و واحد سازمانی OU: برای مثال میتوان مشخص کرد که کارشناس فقط اجازهی تغییر رمز عبور و یا ایجاد کاربر در OUهای به خصوصی را خواهد داشت.
o کنترل مجوز بر اساس نوع عملیات: از جمله این عملیات میتوان به مواردی مانند حذف، ایجاد، تغییر عضویت در گروه ها و ...، اشاره کرد. برای مثال میتواند مشخس کرد که کارشناس اجازه حذف کاربر و یا جابجایی کاربر بین OUها را نداشته باشد.
· تمامی تغییرات صورت گرفته توسط سیستم لاگ گرفته میشود و به آسانی میتوان فهمید کدام کارشناس چه تغییراتی را در دامین انجام داده است.
· با استفاده از برنا میتوان به صورت متمرکز چندین دامین را مدیریت نمود.
کاهش بارکاری و افزایش دقت امور مدیریت اکتیو دایرکتوری
طبق نتایج یک نظرسنجی که توسط گروه META صورت گرفته است، راهبران شبکه حدود یک سوم از وقت خود را صرف تغییر اکانت کاربران دامین میکنند. رسیدگی به امور مدیریت کاربران دامین فرآیندی وقتگیر است، و این یکی از دلایلی است که نرم افزار مدیریت AD برنا میتواند به شما کمک بزرگی نماید.
برای روشنتر شدن موضوع به سناریوهای زیر توجه کنید:
· پیدا کردن همهی کاربرانی که مدت زیادی است فعالیت نداشتهاند و یا تا به حال به دامین لاگین نکردهاند و غیر فعال کردن اکانت آنها.
· پیدا کردن و حذف کردن گروههایی که عضو ندارد.
· پیدا کردن کاربرانی که ساعات مجاز لاگین آنها طبق ساعات کاری سازمان نیست و تغییر ساعات مجاز لاگین آنها.
· پیدا کردن کاربرانی که پسورد آنها به زودی منقضی میشود و تغییر رمز عبور و الزام آنها به تغییر رمز در ورود بعدی به شبکه.
· مشاهدهی فهرستی از کاربران که اسکریپت لاگین ندارند و تخصیص اسکریپت به آنها.
· مشاهدهی کاربرانی که آدرس ایمیل و شماره تماس ندارند و آپدیت آنها به صورت یکباره.
· مشاهدهی کاربرانی که کامپیوترهای مجاز لاگین آنها تعیین نشده است و وارد کردن کامپیوترهای مجاز هر یک.
در همه سناریوهای فوق لازم است شما بتوانید یک Query برای جستجوی کاربران مورد نظر ایجاد نمایید و سپس تغییرات لازم را صورت دهید. نوشتن Queryهای متعدد با توجه به نیازهایی که در طول زمان به وجود میآیند فرآیندی سخت و زمانگیر است.
برنا میتواند شما را در موارد زیر یاری دهد:
· شما نیاز به دانش نوشتن Queryهای جستجوی AD نخواهید داشت.
· برنا به صورت پیش فرض دارای گزارشهای از پیش آماده شدهی متعددی برای مشاهده کاربرانی است که لازم است تغییری روی آنها صورت پذیرد. بنابراین لازم نیست شما برای جستجوی کاربران مورد نظر خود Query بنویسید.
· در همهی گزارشهای برنا، امکان تغییر اکانت کاربران به صورت گروهی وجود دارد.
برای مثال، در خصوص سناریوی غیرفعالسازی اکانتهایی که مدت زیادی است فعالیت نداشتهاند، به شکل زیر عمل کنید:
1. ابتدا، گزارش اکانتهایی که به تازگی فعالیت نداشتهاند را انتخاب نمایید (شکل 2).
2. سپس، مدت زمان مورد نظر خود را وارد کنید و روی دکمهی ایجاد گزارش کلیک نمایید. در ادامه کاربران مورد نظر خود را انتخاب کنید و روی دکمه غیرفعالسازی در ریبون بالای گزارش کلیک کنید (شکل 3).
آسانسازی و استانداردسازی فرایند ایجاد و حذف کاربران
ایجاد اکانتهای جدید و ارائه دسترسیهای لازم، کاری است که نیاز به دقت بالایی دارد و هر گونه اشتباه در انجام آن ممکن است امنیت سازمان را تهدید کند و منجر به دسترسی کاربر به منابع غیرمجاز شود. علاوه بر این زمان زیادی از واحد فناوری اطلاعات را به خود مشغول میسازد. به چالشها و سوالات زیر توجه کنید:
· در اولین مرحلهی ورود یک کاربر جدید به سازمان، این واحد منابع انسانی است که به اطلاعات فردی و سازمانی کاربر دسترسی دارد. چرا مسئولیت ایجاد کاربر جدید را به واحد منابع انسانی نسپاریم؟
o بر روی سیستم کارشناسان منابع انسانی باید ابزار ADUC نصب گردد، که به خودی خود زمانبر است.
o کارشناس منابع انسانی باید برای کار با ابزار ADUC آموزش ببیند. استفاده از این ابزار برای همه آسان نیست و بیشتر مناسب کارشناسان IT به نظر میرسد!
o دسترسی کارشناس منابع انسانی باید به دقت محدود شود. این کار با امکانات پیش فرض ADUC سخت و پیچیده است و در طول زمان کنترل آن سخت است.
· از لحاظ امنیتی انجام برخی تنظیمات و محدود سازیها در زمان ایجاد کاربر جدید ضروری است، مانند محدودسازی ساعات مجاز لاگین و تعیین کامپیوترهای مجاز و عضویت در گروههای خاص. با استفاده از ابزارهای پیش فرض سیستم عامل حصول اطمینان از انجام این تنظیمات امکانپذیر نیست.
· در بسیاری از مواقع، تعداد زیادی کاربر به صورت همزمان وارد سازمان میشوند، ایجاد اکانت به صورت یک به یک بسیار زمانگیر است و امکان اشتباه را بیشتر میکند.
· در صورت قطع همکاری و یا اخراج یک فرد، لازم است دسترسیهای او به سیستم و منابع سازمان سریعا قطع شود. در این شرایط بهتر است واحد منابع انسانی دسترسی لازم جهت غیرفعالسازی اکانت کاربران را داشته باشد.
· آیا روشی برای تایید اطلاعات و دسترسیهای کاربر قبل از آنکه اکانت او در دامین ایجاد شود توسط راهبر شبکه وجود دارد؟
به کمک برنا، فرآیند ایجاد و حذف اکانتها کاملا دگرگون خواهد شد و ضمن آسانسازی این روال، شما تسلط کاملی برای کنترل نحوهی ایجاد اکانت طبق استانداردهای سازمان خواهید داشت. برخی از قابلیتهای برنا در این خصوص به شرح زیر است:
· استاندارد سازی مشخصات و تنظیمات اکانتها و افزایش امنیت
o الگوهای ایجاد کاربر در نرم افزار برنا همانند یک فرمساز این امکان را فراهم میسازند تا فیلدهای لازم و مقادیر پیش فرض آنها را برای ایجاد اکانت جدید تعیین کنید. برای مثال میتوانید ساعات مجاز لاگین و یا گروههای پیش فرض و نیز اسکریپتهای لاگین را در الگو قرار دهید. بدین ترتیب اکانتهایی که توسط این الگو ساخته شوند دارای مشخصات پیش فرض تعیین شده خواهند بود (شکل 4).
· واگذاری مسئولیت ایجاد اکانت جدید به واحد منابع انسانی
o نیازی به نصب ابزارهای سیستم عامل مانند ADUC بر روی سیستم کارشناسان منابع انسانی نخواهد بود.
o با ورود کاربر جدید به سازمان واحد منابع انسانی میتواند اکانت او را در AD تعریف کند.
o اگر لازم باشد میتوانید طوری سیستم را تنظیم کنید که اکانتها قبل از اینکه واقعا در دامین ایجاد شوند به تایید مدیر IT رسانده شوند. در این صورت مدیر IT میتواند اکانت ایجاد شده را بررسی و با یک کلیک اکانت را در دامین ایجاد کند.
o با استفاده از الگوهایی که تعریف کردهاید تنطیمات پیش فرض برای همهی اکانتها اعمال خواهد شد. برای مثال ساعات مجاز لاگین، گروههای پیش فرض، اسکریپتها و سایر مواردی که لازم است را میتوانید با مقدار پیشفرض مقداردهی کنید و در عین حال امکان تغییر این مقادیر را به کاشناس ندهید (شکل 5).
· کنترل آسان سطح دسترسی کارشناسان IT به AD و جلوگیری از اشتباهات
o فرآیند ایجاد اکانت جدید کاری است که احتمال اشتباه در آن زیاد است. در بسیاری از مواقع نیز این اشتباهات میتواند منجر به دسترسی افراد به منابع و سیستمهای غیر مجاز شود. در نرم افزار برنا شما میتوانید سطح دسترسی کارشناسان را طوری محدود سازید که فقط بتوانند برخی از فیلدهای اصلی مانند مشخصات فردی را مقداردهی کنند و سایر تنظیمات مهم توسط سیستم اعمال شود. همچنین تعیین کنید که اکانتهای ایجاد شده فقط در OUهای مجاز باشند و کارشناس نتواند در OUهایی اکانت ایجاد کند که از نظر امنیتی اهمیت دارند.
· ایجاد چندین کاربر به صورت گروهی
o با استفاده از امکان Import در برنا، شما میتوانید به صورت یکباره چندین اکانت در AD ایجاد نمایید.
· در صورت قطع همکاری و یا اخراج یک فرد از سازمان، واحد منابع انسانی در صورتی که مجوز لازم را ارائه داده باشید، میتواند اکانت مربوطه را غیر فعال و یا حذف نماید.
تفویض اختیار امور مدیریت دامین به آسانی و با آسودگی خاطر
برای مدیران فناوری اطلاعات و راهبران شبکه، نیاز به تفویض اختیارات مدیریت امور کاربران، کامپیوترها و گروهها در AD امروزه بیش از پیش احساس میشود. ولیکن چالشها و نگرانیهایی در این خصوص وجود دارند که در بسیاری از مواقع مانع انجام صحیح این کار میشود، از جمله:
· زمانبر و پر دردسر: استفاده از ابزار پیش فرض سیستم عامل برای مدیریت مجوزها (ACL Editor) اصلا دلچسب و کاربرپسند نبوده و دقت زیادی لازم است تا مجوز زیاد از حد به کسی داده نشود.
· از دست دادن طاقت: در بسیاری از مواقع در پازل ACL Editor سردرگم خواهید شد و مدام این سوال را از خود خواهید پرسید که آیا افراد مورد نظر دسترسی بیش از نیاز ندارند؟ و یا اینکه یک مجوز خاص تا به حال به چه افرادی داده شده است؟
· ارائه مجوز بالاتر به صورت غیر عمدی: در برخی از موارد به صورت غیرعمدی ممکن است مجوزهایی بالاتر از نیاز به فردی ارائه دهید. برای مثال ممکن است بخواهید به یک کارشناس مجوز ایجاد اکانت بدهید ولی کارشناس نباید بتواند کاربران را فعال و غیرفعال کند. در این مثال ACL هر دو دسترسی را به صورت پیش فرض ارائه میدهد و تنظیم دقیق سطح دسترسی نیاز به دقت زیادی دارد.
· ترس و نگرانی از دست دادن کنترل: همانطور که گفته شد دسترسی به AD، شاه کلید دسترسی به منابع و سیستمهای سازمان است، انسان به صورت پیش فرض سخت به دیگران اعتماد میکند، پس باید به طریقی مطمئن و کنترل شده تفویض اختیار کنید.
ویژگیهای برنا در خصوص تفویض اختیار به ضرح زیر است:
· عدم ارتقاء سطح دسترسی کارشناسان در AD
o برنا به صورت یک واسط بین کارشناسان و AD است و دسترسیها فقط در برنا اعمال میشود.
o دسترسیها و مجوزهای اکانت کارشناس در AD تغییری نخواهد کرد.
o کارشناس به صورت مستقیم نمیتواند هیچ تغییری در AD صورت دهد.
· عدم نیاز به ACL Editor و پرهیز از پیچیدگیهای آن
o در برنا دقیقا میتوانید وظیفهای که مورد نظر دارید را انتخاب و تفویض اختیار کنید.
o امکان تعریف "نقش" های مختلف در برنا، فرآیند تفویض اختیار را بسیار آسان و قابل کنترل میکند.
o به آسانی و در هر زمان سطح دسترسیها و مجوزهای هر کارشناس را مشاهده و تغییر دهید.
· امکان کنترل محدوده قابل دسترسی هر کارشناس
o در برنا میتوانید محدوده قابل دسترسی هر کارشناس را بر اساس Domain/OU مشخص نمایید (شکل 7).
o یک کارشناس میتواند نقشهای متعددی در OUها و یا Domainهای مختلف داشته باشد.
o برای مثال کارشناس میتواند رمز عبور کاربران برخی از OUها را تغییر دهد و یا کاربران جدید را فقط در یک OU یا Domain مشخص ایجاد نماید.
· امکان مشاهده و کنترل تغییرات هر کارشناس در AD
o همه تغییراتی که توسط کارشناسان رخ میدهد در برنا لاگ گرفته میشود.
o به آسانی میتوانید تغییراتی که هر کارشناس در AD انجام داده است را ردگیری و کنترل نمایید. این موضوع از نظر امنیتی بسیار با ارزش است.
o برای مثال اینکه اکانت جدیدی ایجاد شده است و یا رمز عبور افرادی تغییر کرده است.
· امکان تایید تغییرات قبل از اعمال در AD
o با تعریف فرآیند تاییدیه، میتوانید تعیین کنید که تغییرات مورد نظر کارشناس قبل از اعمال در AD به تایید شما رسانده شود.
o امکان تایید و یا رد تغییرات.
اتوماسیون امور نگهداری اکتیو دایرکتوری
انجام برخی امور نگهداری در AD باید به صورت منظم صورت پذیرد. این کارها اگر در زمان مناسب و به صورت منظم انجام نشود ممکن است اشکالاتی را ایجاد نماید، مانند غیر فعال سازی اکانت کاربرانی که مدت طولانی است به شبکه لاگین نکردهاند و یا حذف گروههایی که فاقد عضو هستند.
در اغلب اوقات به دلیل مشغله زیاد راهبر شبکه و کارشناسان IT، امور نگهداری AD به صورت منظم انجام نمیشود. بنابراین لازم است از یک راهکار نرم افزاری مانند برنا برای این منظور استفاده نمود.
برنا دارای مکانیزمی برای انجام خودکار و زمانبندی شدهی برخی امور مدیریت AD است. با استفاده از این ویژگی شما میتوانید انجام برخی از کارهای مهم نگهداری AD را به برنا بسپارید، برای مثال:
· برنا میتواند به صورت خودکار، اکانت کاربرانی که مدت زیادی است به دامین لاگین نکرده اند (مدت را شما مشخص میکنید، برای مثال یک ماه) را غیر فعال کند.
· برنا میتواند به صورت خودکار اکانتهای غیر فعال را به یک OU به خصوص انتقال دهد.
· برنا میتواند به صورت خودکار گروههایی که دارای عضو نیستند را حذف کند و یا به یک OU به خصوص انتقال دهد.
· برنا میتواند به صورت خودکاراکانتهایی که هیچ گاه استفاده نشدهاند را حذف و یا غیرفعال کند.
· برنا به صورت خودکار همهی کاربرانی که کامپیوتر مجاز لاگین برای آنها تعریف نشده را به یک OU مشخص منتقل کند تا کارشناس IT به آسانی آنها را مشاهده و کامپیوترهای مجاز آنها را تعیین کند.
· برنا میتواند به صورت خودکار رمز عبور اکانتهایی که زمان انقضاء رمز عبور آنها نزدیک است را تغییر دهد و کاربر را ملزم کند در ورود بعدی رمز عبور خود را تغییر دهد.
گزارش گیری از اکتیو دایرکتوری، ضرورتی انکارناپذیر
بهرمندی از اطلاعات و گزارشهای دقیق، در مدیریت و ایمنسازی زیر ساختهای فناوری اطلاعات نقشی حیاتی دارد. همانطور که قبلا ذکر شد، اکتیو دایرکتوری قلب شبکه شماست. بنابراین باید به آسانی و در هر زمان از وضعیت آن با خبر شوید. لذا برخورداری از ابزاری قدرتمند برای گزارشگیری از AD یکی از ضرورتهایی است که مدیران IT و راهبران شبکه با آن روبرو هستند.
برخی از چالش هایی که در امر گزارشگیری در AD وجود دارند عبارتند از:
· دردسرهای نوشتن Query: از آنجا که به صورت پیش فرض ابزار مناسبی برای گزارشگیری ازAD توسط سیستم عامل ارائه نشده است، برای هر نوع گزارش لازم است یک Query جدید نوشته شود که امری وقتگیر و سخت است.
· نیاز به دانش اسکریپت نویسی سطح بالا: علی رغم اینکه نوشتن اسکریپت برای گزارشهای ساده میتواند جالب و سرگرم کننده باشد، ولی وقتی گزارش مورد نظر پیچیده باشد، این کار میتواند بسیار کلافهکننده و طاقتفرسا شود.
· عدم پیش بینی نیازهای گزارش گیری: شما نمیتوانید حدس بزنید که در روزهای آینده به چه نوع گزارشی نیاز دارید! و فکر اینکه مجدد لازم شود برای پیبردن به موضوع به خصوصی Query جدیدی بنویسید کمی اذیت کننده است.
· گزارش گیری از چند دامین مختلف: اگر شما بیش از یک دامین داشته باشید، پس امور گزارش گیری سخت تر هم میشود!
با استفاده از برنا، گزارشگیری از AD تجربهای متفاوت و دلچسب خواهد بود. بیش از 40 عنوان گزارش از پیش آماده شده در برنا به شما این امکان را میدهد تا به آسانی و تنها با یک کلیک به اطلاعات مورد نظر خود دسترسی داشته باشید، از جمله امکانات گزارش گیری AD میتوان به موارد زیر اشاره نمود:
· بیش از 40 عنوان گزارش از پیش آماده شده، با یک کلیک اطلاعات مربوطه را در اختیار شما قرار میدهد.
· امکان حذف و اضافه ستونهای گزارش برای دسترسی به داده های مورد نظر (شکل 8).
· امکان فیلتر کردن گزارش بر اساس Domain و OU.
· امکان ارائه مجوز گزارشهای دلخواه به کارشناسان IT و محدود کردن سطح دسترسی بر اساس Domain و OU.
· امکان تغییر آبجکتهای خروجی گزارش از طریق دکمههای ریبون (شکل 9)، برای مثال انتخاب یک اکانت و غیر فعال کردن آن.
· امکان استخراج گزارشها در قالب فایل اکسل.