Active Directory

יעקב שרייבר

שאלות שבהן נעסוק:

  1. מהו AD? הגדרה הרשמית!
  2. מבנה AD ויחסי TRUST
  3. GROUP POLICY
  4. מהו DC ומה תפקידו?
  5. מהו   GLOBAL CATALOG
  6. מהו READ ONLY DC?
  7. חמשת התפקידים של DC.

בכל ארגון שמחזיק זהויות עם או בלי הרשאות – נדרשת איזשהי מערכת לניהול אותן זהויות באופן מסודר שיאפשר מעקב, ניתור, הוספה או הסרה של שינויים ותקשורת כלפיי פנים או חוץ.

בעולמות של MICROSOFT המערכת לניהול זהויות נקראת ACTIVE DIRECTORY.

כדי לאפשר ל – AD לעבוד בצורה אופטימלית יש להכיר את התפקיד שלו ואת המבנה שלו.

תשובות לשאלות שבהן נעסוק:

  1. מהו AD? ההגדרה הרשמית!

מערכת לניהול זהויות בארגון על בסיס DATA BASE שמכיל את כל הפרטים והמאפיינים של הזהויות והוא שמור כקובץ  NTDS.DIT והגישה אליו מתבצעת לרוב ע"י שרת מתווך שהוא ה – DC. ( DOMAIN CONTROLLER ) לרוב הקובץ ממוקם במיקום C:\windows32  והוא יושב על איזשהו DC.

מושגים ופירושים:

FOREST: מרחב שליטה וניהול של DOMAINES בתוך ה –FOREST יהיו לנו DOMAIN אחד או יותר ויוגדרו היחסים בינו לבין האחרים (אם יש אחרים)

DOMAIN: מתחם של זהויות כאשר המכנה המשותף בין כולם הוא ההשתייכות לאותו השם ( כשע"פ הרוב השם מייצג את הארגון ).

ה – DOMAIN מאפשר את ניהול הזהויות תחת מטרייה אחת.

OU: ORGANIZATION UNIT יחידה ניהולית בתוך כל DOMAIN המשמש לחלוקה, קיטלוג וסיווג זהויות בתוך הארגון. משמש ע"פ רוב לחלוקה ע"פ מחלקות, חטיבות, צוותי, עבודה וכדומה. התפקיד העיקרי שלשמו נוצרה ה – OU הוא האפשרות להחיל POLICY.

בתוך ה – OU ניתן למצוא זהות ( OBJECT ) מסוג משתמש , קבוצה , או מכשיר ( DEVICE ).

GROUP: אוסף של זהויות ( OBJECTS ) מסוג משתמשים. החלוקה לקבוצות ( GROUPS ) משרתת את הצורך בהקצאה של הרשאות.

הרשאות יכולות להיות מוענקות ברמת הקבוצה ולייתר ( מותר ) את הצורך בהקצאת הרשאות ברמה הפרטנית.

USER: הזהות הבסיסית ביותר שמייצגת זהות אנושית או מערכתית.

זהות מערכתית שאיננה אנושית אבל מתנהגת כשמתמש נקראת: SERVICE ACCOUNT

ServiceAcoount: זהות אוטומטית בעלת הרשאות מתאימות לביצוע פעולות בשם המשתמש האנושי (לרוב בשימוש לטובת אוטומציות ותהליכי בקרה ברקע) .

TRUST: כאשר בתוך FOREST יש DOMAINS מרובים, נדרשת השאלה מה היחסים  בין אותם DOMAINS. כלומר באיזה אופן, אם בכלל, הם משתפים ביניהם מידע?

ישנם 2 סוגים של אמון ( TRUST ) שניתן להגדיר:

GROUP POLICY: יכולת ארגונית לאכוף סטנדרטים ארגוניים העוסקים השאלות כמו:

  • באיזה אופן הארגון מנהל את המשאבים שלו?
  • באיזה אופן יש להגביל משתמשים בצורה גורפת ?
  • על מה בארגון חשוב לשמור ברמה הארוגנית
  • איזה מידע חשוב שתמיד יהיה ל – ADMIN?

זו הדרך הקלה להגביל פעילות של משתמשים בארגון אבל עבודה לא חכמה איתה תייצר עבודה מסורבלת , לא יעילה ומתסכלת. השימוש החכם מחייב לענות על השאלה "איך לאפשר בצורה בטוחה?" ולא על השאלה "איך להגביל בצורה הדוקה"?

DC ( DOMAIN CONTROLLER ): שרת בתוך ה – DOMAIN שתפקידו לתווך בין ה – AD לבין המשתמשים בתוך הארגון. הדרך שבא הוא מתווך הוא באמצעות:

  1. ניהול הזהויות ( משתמשים, מכשירים, וכולי )
  2. ניהול ההזדהות של המשתמשים מול ה – DOMAIN.

READ ONLY=RO

Global catalog =GC

DC ( GLOBAL CATALOG ): שרת DC לכל דבר ועניין, אבל יש לו את ההרשאה לאסוף מידע ונתונים מ – DCS אחרים בתוך אותו ה – FOREST והלציג אותם במרוכז על השרתים. מדובר בשרת שהוא כמו READ ONLY רק ברמת ה – FOREST.

DC ( Read Only ): שרת DC שמציג נתונים מכל ה – DCS ברמת ה – DOMAIN

חמשת התפקידים של ה – DC

כל התפקידים הבאים מוחזקים ע"י שרתי ה DC בלבד! בתוך כל DOMAIN חייב שיהיה לפחות DC אחד וב – DEFULT  הוא מחזיק את כל החמישה אלה אם המשתמש ה – ADMIN פיזר אותם אחרת בין DCS  אחרים

בונוס להעשרה

מה ההבדל בין POLICY לבין הרשאות GROUP?

POLICY – עוסקת בחוקים ארגוניים והגבלות שימוש במשאבים הארגוניים.

למשל: אסור ליצור משתמש עם אותיות גדולות

או אסור ליצור VM עם דיסק מעל 256GB.

הרשאות GROUP – עוסקות בהגבלות על משאבים קיימים ברמה האינדיוידואלית.

ברמה הפרטנית של משתמש שיכול לבצע / לא לבצע פעולות שעלולות להיתפס כרגישות.

ACTIVE DIRECTORY

SITES ִ & SERVICES

הצורך:

  1. לדאוג שמשתמשים מאיזורים נוספים בארגון יוכלו להזדהות מול DC באופן מהיר.
  2. לדאוג לגבות את ה-DC  הארוגני ע"י ניהול של DCS נוספים.

מושגים:

  1. SITE: האיזור בתוך הפתרון שנקרא " SITES SERVICES " המתאר חלוקה גאורגפית של מתחם עבודה הכולל תחנות עבודה , משתמשים, ושימוש ברשת.

ה – SITE  מחייב DC אחד לפחות, SUBNET  ואם רוצים סנכרון אז גם LINK.

  • SUBNET: חלק מתוך רשת ( תת רשת ) שמייצג את המתחם ברשת שבו ה – SITE פועל. ניתן להגדיר SUBNET בכל טווח חוקי מתוך הרשת שעלייה מתנהל ה – DOMAIN.
  • DC: שרת המרכז את כל המידע המאוחסן ב active  directory  (זהויות של משתמשים, מכשירים וכ'ו)
  • LINK: מתאר את הקשר שבין SITE ל-SITE ומוגדר ע"י זמני סנכרון קבועים שנקבעים ע"י המשתמש

יתרונות השימוש ב – SITES:

  1. וויסות של העומסים כאשר משתמשים / מחשבים פונים ל-DC עבור הזדהות.
  • שרידות עבור המידע שנשמר על ה-DC ע"י שכפול המידע על גבי  DCs אחרים.
  • שליטה על אופן התקשורת והתעבורה בארגון ע"י ניהול SUBNETS לטובת ה-SITES.
  • שיפור יכולות ה-POLICY בארגון ע"י החלת חוקים וסטנדרטים ארגוניים על SITES. ( וכל הזהויות בתוכו ).
  • חיזוק מהירות התעבורה ואופן התגובה לפניות של המשתמשים לשרתי ה-DC.
  • חיזוק יכולות האבטחה בארגון ע"י עקרון "הפרד ומשל" – ככל שמפרידים באיזורי פעילות ניתן לייעל שכבות הגנה לצמצם

"משטחי תקיפה".

הדגמת משטח תקיפה:

(מושג)

מושג המתאר את גודל הסביבה שניתנת לתקיפה ע"י גורם פנימי.

ככל שלגורם הזדוני ישנה הרשאה גבוהה לפעול בסביבה – כך משתקף התקיפה (כלומר יכולת לתקוף באופן חזק יותר והרסני יותר)

לדוגמא: משתמש אדמין יוכל לתקוף יותר שרתים בסביבה מאשר משתמש READER שיוכל רק לצפות בנתונים ועבורי משאח התקיפה קטן.

כתיבת תגובה