ארכיון עבור 2nd ב-מרץ, 2011

02
מרץ
11

אי הגדרת Group Policy

אני מניח שכולם מכירים את היכולות של Active Directory.
AD לא רק מהווה מאגר זהויות/משתמשים ארגוני ומספק שירותי הזדהות מאובטחים לרשת, אלא גם מאפשר להחיל הגדרות אבטחה על משתמשים בניהול מרכזי. Group Policy מכיל אוסף חוקים והגדרות אבטחה על משתמשים ב – AD. אפשר להחיל GP על כל המשתמשים (דומיין) ב – AD או על קבוצה היררכית (Organizational Unit) של משתמשים. בארגון טיפוסי תמצאו עשרות ואפילו מאות OU. מי שלא מכיר את המושגים האלה, גם לא יצליח להבין אותם מההסבר העקום שלי. ומי שמכיר, כנראה דילג על הפסקה הזו. עברית קשה שפה. אז למה בכל זאת?

מקום מאוד מעניין לבחון ב – AD הוא OU שלא מוגדר עליו GP. מה זה אומר? אם מוגדרים משתמשים ב – OU הזה, יתכן והם לא כפופים למדיניות אבטחה של הזדהות לרשת. הם לא נדרשים להחליף סיסמאות כל X ימים, הסיסמא שלהם בכלל לא עומדת במדיניות החברה ועוד.

אני ממליץ בחום לאתר את ה – OU שלא כפופים ל – GP ולעבור על שמות המשתמשים. אל תהיו מופתעים אם תגלו שם לא רק את אנשי הסיסטם, אלא גם 'מקורבים' שלהם. אני גיליתי עוד משהו מעניין. הרבה חשבונות טסטים של הסיסטם הוגדרו שם. אפילו על שמם של עובדי הסיסטם.

תדרשו להסיר את כל החשבונות שאינם נדרשים. נסו גם לכפות על הסיסטם שהיוזרים שלהם לא יהיו ב – OU הזה. כנראה שלא תצליחו להוציא משם חשבונות אפליקטיביים שמריצים מערכות, אבל זה בסדר.

אז קדימה, צאו ואתרו את אותם OU ללא GP.




מרץ 2011
א ב ג ד ה ו ש
 12345
6789101112
13141516171819
20212223242526
2728293031