امنیت اطلاعات در شبکه تحت Domain
سلام
همینطور که همه ی مهندسای عزیز میدونیم تمام یوزر های شبکه ی تحت Domain میتونن به تمام سیستم ها Log In کنن.
سوال بنده خدمت شما بزرگواران اینه که اینطوری اطلاعات سیستم ها در اصل از طریق تمام یوزرها قابل دسترسی هست مثلا در یک شرکت
وقتی یک نیرو مرخصی باشه و سر سیستم نباشه همکارش میتونه وارد سیستم بشه با یوزر خودش و به تمام درایو ها دسترسی داشته باشه
و این امنیت اطلاعات رو در اون سیستم نقض میکنه .
برای حل این مشکل راه حلی بنظرتون میرسه ؟
4 پاسخ
اصولش این هست که فایلهای مربوط به هر کاربر در فولدر Home خودش نگهداری بشه و چیزی روی کامپیوتر کپی نشه .
به چند دلیل :
1- ریسک سرقت ، خرابی ، آتش سوزی و... ( اینطوری سیستم میپره و فایلهای کاری هم همینطور ) و این وظیفه ی IT هست که کاربران رو از ریسک این کار مطلع کنه و ازشون تعهد بگیره که هیچ مسئولیتی متوجه IT ها نیست .
( من همیشه اجازه ذخیره فایل روی دسکتاپ رو هم از یوزرها میگیرم ) به نفع خودشونه باور کنید.
2- دسترسی افراد غیرمجاز
3- بکاپ گیری ( وقتی فایلهای کاری روی سرور باشه به طور منظم مورد توجه بکاپ جان قرار میگیره )
اگر هم فکر میکنید حتما لازمه که این اتفاق بیافته و نیازی هم به بکاپ نداره ، دسترسی درایو D رو به یوزر بدید و ایشون رو مالک فولدر و فایلهایی که درست میکنه قرار بدید . بدین صورت که فقط ادمین و خودشون و احتمالا سوپروایزرشون یا بالادستشون دسترسی داشته باشن به فایلها . اینطوری هر کسی هم لاگین کنه رو سیستمش چیزی جز یه مشت ویندوز و آفیس و وینزیپ نمیبینه .
در ضمن بهتون توصیه میکنم سیستم Auditing سرور رو هم فعال کنید. ارادت
سلام همانطور که دوستان فرمودند شما در قسمت active directory user and group روی هر یوزر راست کلیک کنید properties->account تو اون قسمت میتونید کامپیوترهایی که این یوزر با اون میتونه log in کنه مشخص کنید حتی میتونید زمان تعیین کنید که تو چه ساعت هایی و چه روزایی بتونه به کامپیوترش وصل بشه. موفق باشید.
با سلام دوست عزیز
این مورد که تمام یوزرها به تمام سیستم ها دسترسی داشته باشند اصلا منطقی نیست ، وقتی یک نیرو در شرکت نمی باشد میتوانید اکانتش را Disable کنید
میتوانید از لینک زیر استفاده کنید که پاسخ سوال شما نیز می باشد
سلام شما در داخل کنسول active directory می تونید تعریف کنید که یک کاربر پشت چه سیستم هایی بتونه لاگین کنه البته از طریق پالیسی هم این کار شدنی هستش