moji5
25th November 2009, 10:30 PM
1 - تعیین Trust متناسب با نیاز
پیش از اینکه یک Domain Trust را اعمال کنید، باید از متناسب بودن نوع آن با وظایفی که قرار است برعهده داشته باشد، اطمینان حاصل کنید. هر Trust بايد خصوصيات زير را داشته باشد:
Type: مشخصکننده نوع دامینهایی که در ارتباط با trust هستند.
Transitivity: تعیین میکند که آیا یک Trust میتواند به یک دامین Trust دیگر از طریق دامین سوم دسترسی داشته باشد.
Direction: مشخصکننده مسیر دسترسی و Trust (اکانتها و منابع Trust)
http://www.sarirservice.com/Attach/SMMArticles/Sections/700/58385b654bd621400514d8faf897b5fd.jpg (http://www.sarirservice.com/index.php?Module=SMM&SMMOp=showImgs&SMM_CMD=&Path=./Attach/SMMArticles/Sections/700/58385b654bd621400514d8faf897b5fd.jpg)
2 - با کنسول Active Directory Domains AND Trusts Console آشنا شوید
روابط بين Trustها از طریق کنسول Active Directory Domains AND Trusts Console مدیریت میشود. این کنسول بهشما اجازه خواهد داد تا اعمال اساسی زیر را انجام دهید:
- ارتقاي سطح عملیاتی دامین
- ارتقاي سطح عملیاتی Forest
- افزودن Suffixهای UPN
- مدیریت Domain Trust
- مدیریت Forest Trust
برای اطلاعات بیشتر درباره جزئیات این ابزار به آدرس زیر مراجعه کنید:
http://techrepublic.com.com/5100-6345_11-5160515.html
3 - آشنايی با ابزار
همانند دیگر اجزاي خانواده ویندوز سرور، ابزار خط فرمان میتواند برای انجام فرامین تکراری یا جهت اطمینان از سازگاری و هماهنگی در زمان ایجاد Trustها بهکار آید. برخی از این ابزارها عبارتند از:
- NETDOM: برای برقرار کردن یا شکستن انواع Trustها استفاده ميشود.
- NETDIAG: خروجی این ابزار وضعیت پایهای را در روابط بين Trustها بهدست میدهد.
- NLTEST: برای آزمایش ارتباطات Trust ميتوان از آن استفاده کرد.
شما همچنین میتوانید از ويندوز اکسپلورر برای مشاهده عضویتها در منابع مشترک آنگونه که در دامینهای Trust و/ يا Forest تعریف شده، استفاده کنيد. کاربران AD همچنین میتوانند جزئیات عضویت آبجکتهاي اکتيو دايرکتورياي که اعضايی از دامینهای Trust و/ يا Forest دارند، مشاهده کنند.
4 - ایجاد یک محیط آزمایشی
بسته به محیط و نیازمندیهای شما، یک اشتباه ساده در ایجاد Trust دامینها میتواند به بازتابهایی در سطح کل سازمان منجر شود. با وجود اين، فراهم ساختن یک محیط آزمايش مشابه براي Replicate کردن موارد مربوط به چندین دامین و فارست کار دشواری خواهد بود. ایجاد دامینهایی برای سناریوهای مشابه کار آسانتری بوده که برای استحکام زیرساختها و آزمایش کارکردهای اساسی میتوان از آنان استفاده کرد.
علاوه بر اين، قبل از استفاده از گروههاي زنده، اکانتها و آبجکتهاي ديگر، به آزمايش الگوي آبجکتها دايرکتوري روي روابط دامين زنده توجه کنيد تا مطمئن شويد که ميزان دلخواه عامليت بهدست آمده، نه بيشتر.
5 - مجوزها را بازبینی کنيد
وقتی Trustها ایجاد شدند باید از عملکرد دلخواه آنان اطمینان حاصل شود. اما مطمئن شوید که برای بررسی صحت جهت دسترسی، Trust پیکربندیشده دوباره بازبینی شود. بهعنوان مثال، چنانچه دامین A بايد فقط به منابع معدودی روی دامین B دسترسی داشته باشد، یک Trust دو طرفه کفایت خواهد کرد.
هرچند ممکن است لازم باشد یکی از مدیران دامین B بتواند به تمام منابع دامین A دسترسی داشته باشد. از صحت جهت و سمت، نوع و Transitivity همه Trustها اطمینان حاصل کنید.
6 – طرح Trustها را تهيه كنيد
نقشهاي ساده با استفاده از پيكانها و جعبههايي كه نمايانگر دامينهاي داراي Trust، ارتباط آنان با يكديگر و اينكه اين Trustها يكطرفه هستند يا دو طرفه تهيه کنيد. با استفاده از تصوير(هاي) ساده مشخص كنيد، كدام دامين به كدام دامين ديگر Trust دارد و Transitivity آنها را نمايش دهيد.
اين جدول ساده موجب درك بهتر وظايف محوله شده و به شما اجازه خواهد داد تا دامينهاي نيازمند به جهت دسترسي (Access Direction) و همچنين جهت صحيح را مشخص ساخته و نمايش دهيد. برخي از دامينها فقط نقش يك دروازه ساده را براي دسترسي به ديگر دامينها ايفا ميکنند.
7 – ارتباطات بين Trustها را مستند كنيد
امروزه، سازمانها دائم در حال پيوستن و جدا شدن از يكديگر هستند. بههمين دليل، اين نكته اهميت دارد كه نقشه واضحي از ارتباط بين دامينها و Trustهاي بينابين تهيه شده تا همواره از وجود اطلاعات لازم بدون نياز به مراجعه به كدهاي مربوطه اطمينان حاصل شود.
بهعنوان مثال، اگر شما روي دامين B قرار داشته باشيد و دفتر مركزي شما روي دامين A نمايندگي شما را ابطال و Trust را قطع كند، يك سند كوچك و مختصر كه قبلاً روي دامين A ذخيره شده كمك بسيار بزرگي براي شما خواهد بود.
نوع Trust، جهت، ملزومات تجاري مورد نياز براي آن Trust، مدت اعتبار پيشبيني شده براي Trust، مجوز، اطلاعات پايهاي دامين و فارست (شامل نام، DNS، آدرس IP، مكان فيزيكي، نام كامپيوترها و...) و اطلاعات تماس فرد يا افراد مسئول دامينها از اطلاعاتي هستند كه ذخيرهسازي آنان در يك محل مطمئن بسياري از كارها را آسانتر خواهد کرد.
8 – از پيچيده کردن ارتباط Trustها پرهيز کنيد
براي صرفهجويي در وقت و زمان، از جلو بردن عضويتها در بيش از يك لايه هنگام كار و استفاده از Trust در دامينها و فارستهاي چندگانه پرهيز كنيد. با اينكه تودر تو کردن عضويتها ميتواند به يكپارچگي و كاهش آبجکتهاي قابل مديريت در AD كمك کند، اما اينکار موجب افزايش ميزان تصميمگيري در مديريت اعضا خواهد شد.
9 – چگونگي مديريت نسخههاي مختلف ويندوز
وقتي AD را روي ويندوز 2000 و ويندوز سرور 2003 اجرا ميكنيد، امكانات كامل براي دامينها و فارستهاي عضو فراهم خواهد بود. چنانچه هرگونه سيستم عضو يا دامين NT در سازمان حضور داشته باشند، امكانات ورودي Trust آنها بهدليل ناتواني در شناسايي آبجكتهاي AD محدود خواهد شد. راهحل عمومي اين سناريو ايجاد «دامينهاي جزيرهاي» براي آن دسته از افرادي است كه معمولاً به ساختارهاي عمومي سازمان متصل نميشوند.
10 – Trustهاي منقضي و Overlap شده را پاك كنيد
تغييرات ايجاد شده در روابط مابين سازمانهاي تجاري ممكن است موجب برجاي گذاشتن تعدادي از Trustهاي بدون استفاده در دامين شما شود. هرگونه تراستي را كه بهعنوان فعال مورد استفاده قرار نميگيرد، از روي دامين برداريد. همچنين از تنظيم صحيح تراست موجود و مطابقت آنها با دسترسي مورد نياز و الگوي استفاده اطمينان حاصل كنيد. بازرسي و رسيدگي به جدول تراست ميتواند مكمل خوبي براي سياستهاي استحكام يافته امنيتي شما بهحساب آيد.
پیش از اینکه یک Domain Trust را اعمال کنید، باید از متناسب بودن نوع آن با وظایفی که قرار است برعهده داشته باشد، اطمینان حاصل کنید. هر Trust بايد خصوصيات زير را داشته باشد:
Type: مشخصکننده نوع دامینهایی که در ارتباط با trust هستند.
Transitivity: تعیین میکند که آیا یک Trust میتواند به یک دامین Trust دیگر از طریق دامین سوم دسترسی داشته باشد.
Direction: مشخصکننده مسیر دسترسی و Trust (اکانتها و منابع Trust)
http://www.sarirservice.com/Attach/SMMArticles/Sections/700/58385b654bd621400514d8faf897b5fd.jpg (http://www.sarirservice.com/index.php?Module=SMM&SMMOp=showImgs&SMM_CMD=&Path=./Attach/SMMArticles/Sections/700/58385b654bd621400514d8faf897b5fd.jpg)
2 - با کنسول Active Directory Domains AND Trusts Console آشنا شوید
روابط بين Trustها از طریق کنسول Active Directory Domains AND Trusts Console مدیریت میشود. این کنسول بهشما اجازه خواهد داد تا اعمال اساسی زیر را انجام دهید:
- ارتقاي سطح عملیاتی دامین
- ارتقاي سطح عملیاتی Forest
- افزودن Suffixهای UPN
- مدیریت Domain Trust
- مدیریت Forest Trust
برای اطلاعات بیشتر درباره جزئیات این ابزار به آدرس زیر مراجعه کنید:
http://techrepublic.com.com/5100-6345_11-5160515.html
3 - آشنايی با ابزار
همانند دیگر اجزاي خانواده ویندوز سرور، ابزار خط فرمان میتواند برای انجام فرامین تکراری یا جهت اطمینان از سازگاری و هماهنگی در زمان ایجاد Trustها بهکار آید. برخی از این ابزارها عبارتند از:
- NETDOM: برای برقرار کردن یا شکستن انواع Trustها استفاده ميشود.
- NETDIAG: خروجی این ابزار وضعیت پایهای را در روابط بين Trustها بهدست میدهد.
- NLTEST: برای آزمایش ارتباطات Trust ميتوان از آن استفاده کرد.
شما همچنین میتوانید از ويندوز اکسپلورر برای مشاهده عضویتها در منابع مشترک آنگونه که در دامینهای Trust و/ يا Forest تعریف شده، استفاده کنيد. کاربران AD همچنین میتوانند جزئیات عضویت آبجکتهاي اکتيو دايرکتورياي که اعضايی از دامینهای Trust و/ يا Forest دارند، مشاهده کنند.
4 - ایجاد یک محیط آزمایشی
بسته به محیط و نیازمندیهای شما، یک اشتباه ساده در ایجاد Trust دامینها میتواند به بازتابهایی در سطح کل سازمان منجر شود. با وجود اين، فراهم ساختن یک محیط آزمايش مشابه براي Replicate کردن موارد مربوط به چندین دامین و فارست کار دشواری خواهد بود. ایجاد دامینهایی برای سناریوهای مشابه کار آسانتری بوده که برای استحکام زیرساختها و آزمایش کارکردهای اساسی میتوان از آنان استفاده کرد.
علاوه بر اين، قبل از استفاده از گروههاي زنده، اکانتها و آبجکتهاي ديگر، به آزمايش الگوي آبجکتها دايرکتوري روي روابط دامين زنده توجه کنيد تا مطمئن شويد که ميزان دلخواه عامليت بهدست آمده، نه بيشتر.
5 - مجوزها را بازبینی کنيد
وقتی Trustها ایجاد شدند باید از عملکرد دلخواه آنان اطمینان حاصل شود. اما مطمئن شوید که برای بررسی صحت جهت دسترسی، Trust پیکربندیشده دوباره بازبینی شود. بهعنوان مثال، چنانچه دامین A بايد فقط به منابع معدودی روی دامین B دسترسی داشته باشد، یک Trust دو طرفه کفایت خواهد کرد.
هرچند ممکن است لازم باشد یکی از مدیران دامین B بتواند به تمام منابع دامین A دسترسی داشته باشد. از صحت جهت و سمت، نوع و Transitivity همه Trustها اطمینان حاصل کنید.
6 – طرح Trustها را تهيه كنيد
نقشهاي ساده با استفاده از پيكانها و جعبههايي كه نمايانگر دامينهاي داراي Trust، ارتباط آنان با يكديگر و اينكه اين Trustها يكطرفه هستند يا دو طرفه تهيه کنيد. با استفاده از تصوير(هاي) ساده مشخص كنيد، كدام دامين به كدام دامين ديگر Trust دارد و Transitivity آنها را نمايش دهيد.
اين جدول ساده موجب درك بهتر وظايف محوله شده و به شما اجازه خواهد داد تا دامينهاي نيازمند به جهت دسترسي (Access Direction) و همچنين جهت صحيح را مشخص ساخته و نمايش دهيد. برخي از دامينها فقط نقش يك دروازه ساده را براي دسترسي به ديگر دامينها ايفا ميکنند.
7 – ارتباطات بين Trustها را مستند كنيد
امروزه، سازمانها دائم در حال پيوستن و جدا شدن از يكديگر هستند. بههمين دليل، اين نكته اهميت دارد كه نقشه واضحي از ارتباط بين دامينها و Trustهاي بينابين تهيه شده تا همواره از وجود اطلاعات لازم بدون نياز به مراجعه به كدهاي مربوطه اطمينان حاصل شود.
بهعنوان مثال، اگر شما روي دامين B قرار داشته باشيد و دفتر مركزي شما روي دامين A نمايندگي شما را ابطال و Trust را قطع كند، يك سند كوچك و مختصر كه قبلاً روي دامين A ذخيره شده كمك بسيار بزرگي براي شما خواهد بود.
نوع Trust، جهت، ملزومات تجاري مورد نياز براي آن Trust، مدت اعتبار پيشبيني شده براي Trust، مجوز، اطلاعات پايهاي دامين و فارست (شامل نام، DNS، آدرس IP، مكان فيزيكي، نام كامپيوترها و...) و اطلاعات تماس فرد يا افراد مسئول دامينها از اطلاعاتي هستند كه ذخيرهسازي آنان در يك محل مطمئن بسياري از كارها را آسانتر خواهد کرد.
8 – از پيچيده کردن ارتباط Trustها پرهيز کنيد
براي صرفهجويي در وقت و زمان، از جلو بردن عضويتها در بيش از يك لايه هنگام كار و استفاده از Trust در دامينها و فارستهاي چندگانه پرهيز كنيد. با اينكه تودر تو کردن عضويتها ميتواند به يكپارچگي و كاهش آبجکتهاي قابل مديريت در AD كمك کند، اما اينکار موجب افزايش ميزان تصميمگيري در مديريت اعضا خواهد شد.
9 – چگونگي مديريت نسخههاي مختلف ويندوز
وقتي AD را روي ويندوز 2000 و ويندوز سرور 2003 اجرا ميكنيد، امكانات كامل براي دامينها و فارستهاي عضو فراهم خواهد بود. چنانچه هرگونه سيستم عضو يا دامين NT در سازمان حضور داشته باشند، امكانات ورودي Trust آنها بهدليل ناتواني در شناسايي آبجكتهاي AD محدود خواهد شد. راهحل عمومي اين سناريو ايجاد «دامينهاي جزيرهاي» براي آن دسته از افرادي است كه معمولاً به ساختارهاي عمومي سازمان متصل نميشوند.
10 – Trustهاي منقضي و Overlap شده را پاك كنيد
تغييرات ايجاد شده در روابط مابين سازمانهاي تجاري ممكن است موجب برجاي گذاشتن تعدادي از Trustهاي بدون استفاده در دامين شما شود. هرگونه تراستي را كه بهعنوان فعال مورد استفاده قرار نميگيرد، از روي دامين برداريد. همچنين از تنظيم صحيح تراست موجود و مطابقت آنها با دسترسي مورد نياز و الگوي استفاده اطمينان حاصل كنيد. بازرسي و رسيدگي به جدول تراست ميتواند مكمل خوبي براي سياستهاي استحكام يافته امنيتي شما بهحساب آيد.