Domain Local : اصلی ترین عامل امنیتی در این مبحث اهمیت اختصاص حق دسترسی و مجوز ها است هر چند گروه هایی مثله یونیورسال و گلوبال هم داریم اما مایکروسافت پیشنهاد میکند که بهترین تمرین و بررسی حق دسترسی استفاده از یک گروه است که این حقوق دسترسی در آن مشترک اعمال شود ، گروه های یونیورسال و گلوبال می توانند به این گروه اضافه شوند چنین رایندی را برای به خاطر سپردن راحت تر AGDLP و AGGUDLP می نامند در حالت AGDLP که تنها یک دامین داریم کاربران برای دسترسی به منابع شبکه و حق دسترسی به دسته های زیر تقسیم می شوند :
Accounts : اکانت های عضو شده هستند
Global : گروه های داخل members of داریم
Domain Local groups : گروه های محلی که assign شده اند ( تعیین شدن )
Permissions : دسترسی به منابع
در حالتی که چندین دامین و تعداد بیشتری حق دسترسی داریم از حالت AGGUDLP است :
Accounts : اکانت های عضو شده هستند
Global groups : در صورتی که ما گروه های تو در تو یا nested داشته باشیم
Global groups : گروه های عضو شده هستند
Universal groups : گروه هایی که عضو شده اند
DomainLocal groups : گروه هایی که assign شده اند ( تعیین شدن )
Permission : دسترسی به منابع
این بحث تکراری شده که باید حداقل ملزومات دسترسی تمنیتی به گروه های محلی هم ارجاع داده شود ، در واقع ما مجوز هایی در سطح ACE به آنها می دهیم که طول لیست های مجوزی رو کوتاه تر و ساده تر می کند بعضی از مدیران شبکه برای هر سطح دسترسی به منابع شبکه یک domain local group ایجاد می کنند به عنوان مثال فرض کنید شما یک پوشه اشتراکی به نام SalesDocs دارید که دو سطح دسترسی برای دو گروه مختلف نیاز دارد ، گروه اول به نام SalesDocs-Read-DL و Read و گروه دوم به نام SalesDocs-Mod-DL و Modify خواهد بود حالا شما با این شناسه ها استاندارد که تعریف کردید می توانید گروه هایتان را تشخیص و حق دسترسی دلخواه را به آنها بدهید در مرحله بعد شما تنها باید گروه های یونیورسال و گلوبال را به این گروه ها اضافه کنید ، به خاطر داشته باشید که اصطلاح local اشاره به این دارد که یک domain local منابع و حق دسترسی تنها به آن منطقه دارد به عنوان مثال domain local group اگر در دامین A باشد قادر به ارجاع کاربرانش یا دسترسی DACL به سمت دامین B نخواهد بود
نکته : این مطالب برای افراد مبتدی شبکه مایکروسافت نیست واژه access control list (ACL) و access control entries (ACE) و Discretionary Access Control List اشاره دارد و در مباحث امنیتی و گروه ها و کاربران به شدت کاربرد دارد
Global Groups : این گروه ها حق دسترسی به منابع در دامین یکسان را دارند اعضا و گروه ها این گروه می توانند با گروه های مشابه در دامین یکسانی که دارند با هم تبادل شوند دلیل نام گلوبال به این جهت است که علاوه بر کار بر روی گروه های دامین محلی قادر هستند در سطح کل فارست ها هم تبادل شده و منتقل شوند ، کافیست بین فارست ها یک Trust ایجاد کنیم ، گروه های گلوبال در داخل یک سازمان و تمام شعبات آن قادر هستند حق دسترسی دریافت کنند ، در یک دامین یکتا ، گروه یونیورسال برای اینکه دسترسی به منابع به گروه های دامین محلی بدهند قادر به اضافه شدن به آنها هستند ، ممکن است تعجب کنید که چرا گروه های دامین محلی به صورت مستقیم وارد گروه های یونیورسال نمی شوند و آنها را دور می زنند در یک محیط تک دامین می توان این کار را انجام داد اما دارای اشکالاتی است :
- عضویت در گروه های دامین محلی Domain local group می تواند عملاً سنگین شود بخصوص زمانی که گروه ها دسترسی های مختلفی به چند منبع دارند
- اگر این شرکت بخواهد دامین جدیدی اضافه کند باید اعضا و گروه های جدیدی هم با دسترسی های جدید ایجاد کند این کار طبیعی است چون یک گروه دامین محلی نمی تواند و نمی تواند داخل دامین های دیگر دخالتی داشته باشند
- در چند دامینی ها سازمان ها چندین شعبه و دپارتمان دارند گروه های یونیورسال می توانند از هر دامنه ای به داخل گروه های گلوبال بیایند به همین دلیل با گروه های دامین محلی هم جمع می شوند به عنوان مثال شکل زیر نشان می دهد که دامنه های US - UK coolgadgets.com دارای یک گروه گلوبال به نام Sales هستند این گروه گلوبال در دامنه coolgadgets.com قرار دارد و به گروه یونیورسال Sales-U اضافه می شود سپس Sales-U به گروه های دامین محلی نفوذ می کند که مجوز ها را به shared folder می دهد ، به شرط اینکه این اشتراک فولدر در هر سه دامین مشترک باشد در این مثال زیر گروه یونیورسال با گروه دامین محلی ادغام شده و ارتباط با فارست و دامین فارست های دیگر دارند :
Universal Groups : این گروه از چند جهت خاص است تنها داخل دامین کنترلر در global cat-alog servers ذخیره می شود ، آنها تنها گروه یونیورسال صحیح و تعریف شده در دامین هستند ، حساب های کاربری و هر گلوبال گروهی در دامنه ها می توانند عضو این گروه باشند ، قادرند به دامین های فارست ها و حتی گروه های دامین محلی هم مجوز دسترسی بدهند دقت داشته باشد که گروه های یونیورسال چون دارای یک گلوبال کتالاگ هستند که در سطح یونیورسال ذخیره سازی می کند اعضای این گروه باید یک سرور GC یا گلوبال کتالاگ در دسترس باشد تا قادر به عضویت باشند به همین دلیل است که در یک سازمان برای ارتباط کاربران در شعب مختلف نیاز هست که در دامین کنترلر یک گلوبال کتالاگ باشد تا ترافیک شبکه WAN کاهش پیدا کند این گزینه در هر Site باعث می شود تا ذخیره اطلاعات کاربران و گروه ها در یونیورسال گروه ها امکان پذیر شود در سازمانی که دسترسی به دامین کنترل راه دوری مقدور باشد با استفاده از Cache شدن اطلاعات داخل GC یونیورسال گروه قادر است علاوه بر گرفتن اعضا داخل دامین کنترلر این اطلاعات را برای دامیین یا فارست های دیگر هم نگهداری کند - تغییرات عضویت در گروه های یونیورسال نیاز به تکرار GC در تمام سطح شبکه دارد ، در ویندوز سرور Windows 2000 متاسفانه حجم بالای این تغییرات برای شبکه ها ترافیک سنگینی ایجاد می کرد اما در ویندوز سرور 2003 به بعد قابلیتی به نام linked value replication اضافه شد که اجازه می دهد تنها تغییرات روی GC ها اعمال شود این ویژگی باعث می شود تا لیست در گروه های nest-ing groups ( گروه های تو در تو ) کاهش پیدا کند
نکته : گروه های یونیورسال در ویندوز NT تعریف نشده اند و باید سطح Functional Level حداقل ویندوز سرور 2000 باشد
Local Groups : این گروه ها در یک SAM database واحد ایجاد می شوند که یا یک member server داریم یا یک PC یا یک stand-alone کامپیوتر داریم از آنجایی که این کامپیوتر ها با AD اکتیودایرکتوری تماسی ندارند و نمی توانند عضو آن شوند بنابراین تنها گروه های دامین محلی هستند که می توانند با اکتیودایرکتوری تماس داشته باشند گروه های Local groups در هر ویندوز شرکت مایکروسافت وجود دارد و در بخش برنامه Computer Management MMC ویندوز داخل Snap-in در این نوع کامپیوتر ها چون دسترسی به منابع تعریف نشده پس حق دسترسی هم عملاً منسوخ می شود اختصاص مجوز ها و دستری برای گروه های دامین محلی بهتر بوده و هنگامی که کامپیوتری عضو دامین می شود بین دو گروه محلی لوکال خود تغییر و جا به جایی انجام می دهد
Administrators : گروه Domain Admins global group عضوی از local group است بنابراین گروه Domain Admins group می تواند حق دسترسی به هر کامپیوتری را بدهد
Users : در اینجا Domain Users global group ها عضوی از این گروه محسوب می شوند و به کاربران عادی مجوز دسترسی می دهند این گروه های محلی می توانند به صورت زیر دارای اعضا باشند :
- Local user accounts که در همان کامپیوتر هستند
- Domain user accounts که در هر دامنه ای از فارست و دامنه فارست های دیگر می توانند باشند
- domain local groups که در دامین های یکسانی هستند بجز فولدرهایی که به صورت Built In هستند
- گروه های یونیورسال و گلوبال که Trust شدن با فارست های دیگر
Local groups تنها می توانند به صورت محلی مجوز دسترسی داشته باشند بیشترین استفاده ازین گروه ها می تواند در حیط هایی که کامپیوتر ها عضو دامینی نیستند باشد به هر حال می توان برای دسترسی اعضا به منابع این کامپیوتر حقوق دسترسی را تعریف کنیم
شکل زیر ویژگی های انواع گروه ها در داخل اکتیودایرکتوری را نشان می دهد :
- ۰۰/۰۷/۱۹