چگونه امور مدیریت AD را تفویض اختیار کنیم؟

Q: برنا چگونه تفویض اختیار را آسان کرده است؟

در برنا کارشناسان را هم میتوانند بر اساس حساب کاربران اکتیو دایرکتوری بسازید و هم میتوانند به طور جداگانه و برحسب نیاز بسازید. در برنا مفهومی به نام نقشها اضافه شده است تا میزان مجوزها در آن مشخص شود.

دسته بندی : بلاگ برنا
نظرات : بدون نظر
تاریخ انتشار : فوریه 9, 2020

فهرست مطالب این مقاله:

در این مقاله نشان خواهیم داد که چگونه می‌توان فرایندهای روزمره‌ مانند ساخت و تغییر کاربر، تغییر رمز عبور کاربر، فعال‌سازی کاربران و … را با خیالی آسوده به کارشناسان واحدهای دیگر سپرد.

تفویض اختیار در اکتیو دایرکتوری تا چه اندازه موثر است؟

در سازمان‌های بزرگ، تعداد درخواست‌های جزئی و کوچک مربوط به امور کاربران و کامپیوترها، مانند ساخت کاربران و یا ریست کردن رمزعبور بسیار بالا می‌باشد. این امر مقدار زیاد از وقت ارزشمند کارشناسان و ادمین‌های شبکه را به هدر می‌دهد. امکان تفویض اختیار در اکتیو دایرکتوری این امکان را به شما می‌دهد تا مواردی از این دست را به عهده‌ی کاربران واحد‌های دیگر مانند منابع انسانی بسپارید که باعث کاهش چشم‌گیر درخواست‌ها روتین به سمت واحد IT می‌شود.

تفویض اختیار در اکتیو دایرکتوری چگونه انجام می‌شود؟

برای مثال، فرض کنید می‌خواهیم به کاربری با نام کاربری p-kazemi که در واحد منابع انسانی مستقر است، امکان ساخت، مدیریت کاربران را در OUای به نام Developers بدهیم. بدین منظور بر روی OUی Developers کلیک راست کرده و Delegate control را انتخاب می‌کنیم. پس از کلیک بر روی next، نام کاربری (یعنی p-kazemi) را وارد می‌کنیم (امکان مشخص کردن گروه نیز وجود دارد) و مجدداً next را می‌فشاریم. در این صفحه میزان اختیارات کاربر را می‌توان مشخص کرد که ما در اینجا فقط گزینه‌ی Create, delete, and manage user accounts را انتخاب می‌کنیم. سپس با فشردن next و finish فرایند تفویض اختیار کامل می‌شود.

بر اساس سطح دسترسی کاربر p-kazemi، این کاربر امکان لاگین به domain server را ندارد. پس چگونه می‌تواند از اختیاراتش استفاده کند؟ برای مثال، در ویندوز 7 ابزار پیش‌فرضی مانند active directory snap-in وجود ندارد. برای اتصال به سرور و اعمال تغییرات در AD، بر روی ویندوز 7 باید Remote server administration tools نصب شود. در این صورت امکان استفاده از ابزار Active directory users and computers برای کاربر فراهم خواهد شد.

چه اتفاقی در اثر تفویض اختیار در اکتیو دایرکتوری رخ می‌دهد؟

در حقیقت، عمل تفویض اختیار مفهومی انتزاعی است و چیزی جز تنظیم کردن سطح دسترسی کاربران به اشیاء اکتیو دایرکتوری نیست. شما می‌توانید به قسمت properties یک OU رفته و سپس در قسمت security گزینه‌ی advanced را انتخاب کنید. در این پنجره می‌توانید تمامی دسترسی‌های داده شده را مشاهده کنید. در حقیقت پنجره‌ی تفویض اختیار، یک میان‌بر ساده‌تر برای تنظیم دسترسی‌ها است. البته توجه داشته باشید که تغییر سطح دسترسی‌ها در این قسمت، نیازمند دانش کافی درباره‌ی اشیاء، صفات آنها و انواع دسترسی‌ها دارد.

هر چند تفویض اختیار به ظاهر ساده به نظر می‌رسد، اما تعیین دسترسی برای موارد جزئی و در عین حال پرکاربرد در اکتیو دایرکتوری بسیار دشوار است. برای مثال فرض کنید که به دلایل امنیتی می‌خواهید یکی از کارمندان بخش منابع انسانی را مسئول تعیین کامپیوترهای مجاز لاگین کنید. بر این اساس، این فرد باید تنظیمات پروفایل کاربران را به گونه‌ای تغییر دهد که هر کاربر فقط به کامپیوتر خود امکان لاگین داشته باشد. حال آنکه این فرد نباید مجوز دیگری داشته باشد تا خود موجب خطرات امنیتی شود. این کار چگونه در اکتیو دایرکتوری ممکن است؟

تفویض چنین اختیاری عملاً توسط منوی Delegation امکان‌پذیر نیست و شما باید مجوزهای لازم را به طور دستی برای کاربران یا گروه‌ها تعیین کنید. در قسمت Advanced Security Settings از یک OU شما می‌توانید با فشردن دکمه‌ی Add مجوز جدید تعریف کنید. اما تشخیص اینکه کدام مجوز را باید فعال کنید، عملاٌ بسیار دشوار است. برای نمونه اگر وارد تب Properties شوید و گزینه‌ی Descendant user objects را انتخاب کنید، لیست بلندبالایی از مجوزهایی که برای دسترسی به صفت‌های حساب‌های کاربری است را می‌توانید مشاهده کنید که بسیار سردرگم کننده است. مثلاً با یک بررسی ساده خواهید دید که در این لیست دو مورد با نام‌های Read Logon Workstations و Read logonworkstation وجود دارد (جالب اینکه صفت مربوط به خود کاربر، userWorkstations نام دارد). حال کدام یک نیاز شما را برآورده می‌کند و هر کدام به چه معنی است؟ متاسفانه مستندات کافی نیز در منابع اینترنتی برای شناخت و بررسی این موارد وجود ندارد و برای پاسخ به همین یک سوال شاید مجبور به صرف وقت برای تست و آزمون و خطا شوید. به همین دلیل است که عملاٌ تفویض اختیار مستقیم در اکتیو دایرکتوری به جز چند مورد ساده مانند ساخت کاربران یا حذف آنها بسیار پیچیده و پر رسیک است.

برنا چگونه تفویض اختیار را آسان کرده است؟

تفویض اختیار در نرم افزار مدیریت اکتیو دایرکتوری برنا ساختاری متفاوت دارد تا مدیریت آن آسان‌تر شود. ساختار تفویض اختیار در شکل زیر نشان داده شده است که شامل کارشناسان و نقش‌ها می‌باشد. در برنا کارشناسان را هم می‌توانند بر اساس حساب کاربران اکتیو دایرکتوری بسازید و هم می‌توانند به طور جداگانه و برحسب نیاز بسازید. در برنا مفهومی به نام نقش‌ها اضافه شده است تا میزان مجوزها در آن مشخص شود. برای مثال شما می‌توانید یک نقش با نام “ساخت کاربران” ایجاد کنید و در آن امکان ایجاد و حذف کاربران را فراهم کنید. سپس هر نقش را می‌توانید بر اساس نیاز به کارشناسان تخصیص دهید. علاوه بر آن، در هنگام تخصیص نقش‌ها به کاربران می‌تونید OU و یا دامین‌هایی که می‌خواهید مجوزهای آن نقش برای کاربر فعال شود را مشخص کنید. برای مشاهده‌ی روال دقیق تفویض اختیار در برنا به تفویض اختیار امور مدیریتی رجوع فرمایید.

این نوع تفویض اختیار و وجود مفهوم نقش‌ها در برنا، ایجاد و مدیریت مجوزها را بسیار ساده‌تر کرده است. لازم به ذکر است که مواردی مانند مجوز تعیین کامپیوترهای مجاز لاگین در ساختار نقش‌ها به سادگی قابل تنظیم است و شما دیگر نیازی به حفظ کردن و بررسی صفات و نام‌های پیچیده و گمراه‌کننده در اکتیو دایرکتوری نخواهید بود.

سوالات متداول

تفویض اختیار در اکتیو دایرکتوری تا چه اندازه موثر است؟
امکان تفویض اختیار در اکتیو دایرکتوری این امکان را به شما می‌دهد تا مواردی از این دست را به عهده‌ی کاربران واحد‌های دیگر مانند منابع انسانی بسپارید که باعث کاهش چشم‌گیر درخواست‌ها روتین به سمت واحد IT می‌شود.
برنا چگونه تفویض اختیار را آسان کرده است؟
در برنا کارشناسان را هم می‌توانند بر اساس حساب کاربران اکتیو دایرکتوری بسازید و هم می‌توانند به طور جداگانه و برحسب نیاز بسازید. در برنا مفهومی به نام نقش‌ها اضافه شده است تا میزان مجوزها در آن مشخص شود.