10 نکته درباره DomainTrust اکتیودایرکتوری

moji5

کاربر فعال كامپيوتر و اينترنت
1 - تعیین Trust متناسب با نیاز

پیش از این‌که یک Domain Trust را اعمال کنید، باید از متناسب بودن نوع آن با وظایفی که قرار است برعهده داشته باشد، اطمینان حاصل کنید. هر Trust بايد خصوصيات زير را داشته باشد:
Type: مشخص‌کننده نوع دامین‌هایی که در ارتباط با trust هستند.
Transitivity: تعیین می‌کند که آیا یک Trust می‌تواند به یک دامین Trust دیگر از طریق دامین سوم دسترسی داشته باشد.
Direction: مشخص‌کننده مسیر دسترسی و Trust (اکانت‌ها و منابع Trust)






2 - با کنسول Active Directory Domains AND Trusts Console آشنا شوید

روابط بين Trustها از طریق کنسول Active Directory Domains AND Trusts Console مدیریت می‌شود. این کنسول به‌شما اجازه خواهد داد تا اعمال اساسی زیر را انجام دهید:
- ارتقاي سطح عملیاتی دامین
- ارتقاي سطح عملیاتی Forest
- افزودن Suffixهای UPN
- مدیریت Domain Trust
- مدیریت Forest Trust
برای اطلاعات بیشتر درباره جزئیات این ابزار به آدرس زیر مراجعه کنید:
http://techrepublic.com.com/5100-6345_11-5160515.html



3 - آشنايی با ابزار


همانند دیگر اجزاي خانواده ویندوز سرور، ابزار خط فرمان می‌تواند برای انجام فرامین تکراری یا جهت اطمینان از سازگاری و هماهنگی در زمان ایجاد Trustها به‌کار آید. برخی از این ابزارها عبارتند از:
- NETDOM: برای برقرار کردن یا شکستن انواع Trustها استفاده مي‌شود.
- NETDIAG: خروجی این ابزار وضعیت پایه‌ای را در روابط بين Trustها به‌دست می‌دهد.
- NLTEST: برای آزمایش ارتباطات Trust مي‌توان از آن استفاده کرد.
شما همچنین می‌توانید از ويندوز اکسپلورر برای مشاهده عضویت‌ها در منابع مشترک آن‌گونه که در دامین‌های Trust و/ يا Forest تعریف شده، استفاده کنيد. کاربران AD همچنین می‌توانند جزئیات عضویت آبجکت‌هاي اکتيو دايرکتوري‌اي که اعضايی از دامین‌های Trust و/ يا Forest دارند، مشاهده کنند.


4 - ایجاد یک محیط آزمایشی

بسته به محیط و نیازمندی‌های شما، یک اشتباه ساده در ایجاد Trust دامین‌ها می‌تواند به بازتاب‌هایی در سطح کل سازمان منجر شود. با وجود اين، فراهم ساختن یک محیط آزمايش مشابه براي Replicate کردن موارد مربوط به چندین دامین و فارست کار دشواری خواهد بود. ایجاد دامین‌هایی برای سناریوهای مشابه کار آسان‌تری بوده که برای استحکام زیرساخت‌ها و آزمایش کارکردهای اساسی می‌توان از آنان استفاده کرد.
علاوه بر اين، قبل از استفاده از گروه‌هاي زنده، اکانت‌ها و آبجکت‌هاي ديگر، به آزمايش الگوي آبجکت‌ها دايرکتوري روي روابط دامين زنده توجه کنيد تا مطمئن شويد که ميزان دلخواه عامليت به‌دست آمده، نه بيشتر.



5 - مجوزها را بازبینی کنيد

وقتی Trustها ایجاد شدند باید از عملکرد دلخواه آنان اطمینان حاصل شود. اما مطمئن شوید که برای بررسی صحت جهت دسترسی، Trust پیکربندی‌شده دوباره بازبینی شود. به‌عنوان مثال، چنان‌چه دامین A بايد فقط به منابع معدودی روی دامین B دسترسی داشته باشد، یک Trust دو طرفه کفایت خواهد کرد.
هرچند ممکن است لازم باشد یکی از مدیران دامین B بتواند به تمام منابع دامین A دسترسی داشته باشد. از صحت جهت و سمت، نوع و Transitivity همه Trustها اطمینان حاصل کنید.



6 – طرح Trustها را تهيه كنيد

نقشه‌اي ساده با استفاده از پيكان‌ها و جعبه‌هايي كه نمايان‌گر دامين‌هاي داراي Trust، ارتباط آنان با يكديگر و اين‌كه اين Trustها يك‌طرفه هستند يا دو طرفه تهيه کنيد. با استفاده از تصوير‌(هاي) ساده مشخص كنيد، كدام دامين به كدام دامين ديگر Trust دارد و Transitivity آن‌ها را نمايش دهيد.
اين جدول ساده موجب درك بهتر وظايف محوله شده و به شما اجازه خواهد داد تا دامين‌هاي نيازمند به جهت دسترسي (Access Direction) و همچنين جهت صحيح را مشخص ساخته و نمايش دهيد. برخي از دامين‌ها فقط نقش يك دروازه ساده را براي دسترسي به ديگر دامين‌ها ايفا مي‌کنند.

7 – ارتباطات بين Trustها را مستند كنيد

امروزه، سازمان‌ها دائم در حال پيوستن و جدا شدن از يكديگر هستند. به‌همين دليل، اين نكته اهميت دارد كه نقشه واضحي از ارتباط بين دامين‌ها و Trustهاي بينابين تهيه شده تا همواره از وجود اطلاعات لازم بدون نياز به مراجعه به كدهاي مربوطه اطمينان حاصل شود.
به‌عنوان مثال، اگر شما روي دامين B قرار داشته باشيد و دفتر مركزي شما روي دامين A نمايندگي شما را ابطال و Trust را قطع كند، يك سند كوچك و مختصر كه قبلاً روي دامين A ذخيره شده كمك بسيار بزرگي براي شما خواهد بود.
نوع Trust، جهت، ملزومات تجاري مورد نياز براي آن Trust، مدت اعتبار پيش‌بيني شده براي Trust، مجوز، اطلاعات پايه‌اي دامين و فارست (شامل نام، DNS، آدرس IP، مكان فيزيكي، نام كامپيوترها و...) و اطلاعات تماس فرد يا افراد مسئول دامين‌ها از اطلاعاتي هستند كه ذخيره‌سازي آنان در يك محل مطمئن بسياري از كارها را آسان‌تر خواهد کرد.

8 – از پيچيده کردن ارتباط Trustها پرهيز کنيد

براي صرفه‌جويي در وقت و زمان، از جلو بردن عضويت‌ها در بيش از يك لايه هنگام كار و استفاده از Trust در دامين‌ها و فارست‌هاي چندگانه پرهيز كنيد. با اين‌كه تودر تو کردن عضويت‌ها مي‌تواند به يكپارچگي و كاهش آبجکت‌هاي قابل مديريت در AD كمك کند، اما اين‌کار موجب افزايش ميزان تصميم‌گيري در مديريت اعضا خواهد شد.

9 – چگونگي مديريت نسخه‌هاي مختلف ويندوز

وقتي AD را روي ويندوز 2000 و ويندوز سرور 2003 اجرا مي‌كنيد، امكانات كامل براي دامين‌ها و فارست‌هاي عضو فراهم خواهد بود. چنان‌چه هرگونه سيستم عضو يا دامين NT در سازمان حضور داشته باشند، امكانات ورودي Trust آن‌ها به‌دليل ناتواني در شناسايي آبجكت‌هاي AD محدود خواهد شد. راه‌حل عمومي اين سناريو ايجاد «دامين‌هاي جزيره‌اي» براي آن دسته از افرادي است كه معمولاً به ساختارهاي عمومي سازمان متصل نمي‌شوند.

10 – Trustهاي منقضي و Overlap شده را پاك كنيد

تغييرات ايجاد شده در روابط مابين سازمان‌هاي تجاري ممكن است موجب برجاي گذاشتن تعدادي از Trustهاي بدون استفاده در دامين شما شود. هرگونه تراستي را كه به‌عنوان فعال مورد استفاده قرار نمي‌گيرد، از روي دامين برداريد. همچنين از تنظيم صحيح تراست موجود و مطابقت آن‌ها با دسترسي مورد نياز و الگوي استفاده اطمينان حاصل كنيد. بازرسي و رسيدگي به جدول تراست مي‌تواند مكمل خوبي براي سياست‌هاي استحكام يافته امنيتي شما به‌حساب آيد.

 
بالا