Active Directory Security Groups və Distribution Lists

Active Directory təşkilatın təhlükəsizliyinin mərkəzidir, çünki o, istifadəçilərin autentifikasiyası və istifadəçinin şəbəkədəki resurslara girişinə icazə verən mənbədir. Onun çoxsaylı istifadələrindən biri istifadəçiləri şöbələrinə, iş rollarına və menecerlərinə – bir sözlə, tələb olunan girişi təmsil edən atributlara görə müxtəlif qruplara çeşidləməkdir. Qruplar üzrə bu təsnifat müəssisələrə asanlıqla icazələr verməyə və həssas məlumatları idarə etməyə imkan verir.

Security Groups və Distribution Lists arasindakı əsas fərq nədir?

Security Groups (Təhlükəsizlik qrupları) təşkilat daxilində paylaşılan resurslara istifadəçi və kompüter girişini idarə etmək üçün istifadə olunur. Təhlükəsizlik qrupu üçün icazələri bir dəfə təyin etməklə siz onları birdən çox istifadəçiyə genişləndirə bilərsiniz (istifadəçiləri qrup üzvlüyünə əlavə etməklə)

Distribution Lists (Dağıtım siyahıları) Exchange və Outlook kimi e-poçt serveri vasitəsilə e-poçt göndərmək üçün istifadə olunur. E-poçt paylanması üçün təhlükəsizlik qruplarından da istifadə edə bilsəniz də, icazələr təyin etmək üçün paylama siyahılarından istifadə edə bilməzsiniz.

Active Directory Təhlükəsizlik Qrupları

Active Directory təhlükəsizlik qrupları paylaşılan resurslara istifadəçi və kompüter girişini idarə edir. Təhlükəsizlik qrupunun iki əsas funksiyası bunlardır:

İstifadəçi hüquqlarının təyin edilməsi: Təhlükəsizlik qrupuna istifadəçi hüquqlarının təyin edilməsi həmin qrupun üzvlərinin domen daxilində nə edə biləcəyini müəyyən edir.

Resurslar üçün İcazələrin Təyin edilməsi: İcazələr Oxu kimi giriş səviyyəsi ilə birlikdə paylaşılan resurslara kimin daxil ola biləcəyini müəyyən edir.

Administratorlar təhlükəsizlik qrupu üçün icazələr təyin edə və qrupa üzvlər əlavə edə bilərlər. Bu icazələr təşkilata məxsus qovluqlara, printerlərə, kompüterlərə və digər resurslara aiddir. Üzvlər kimi aktiv kataloq qruplarına əlavə edilən bütün istifadəçilər qrupa təyin edilmiş hüquq və icazələr toplusunu alır. Hüquq və ya icazə dəstinə edilən hər hansı dəyişiklik bütün qrup üzvlərinə şamil edilir. Beləliklə, icazələrin verilməsi prosesi sadələşdirilir.

Təhlükəsizlik qrupları Active Directory İstifadəçiləri və Kompüterlər konsolu vasitəsilə yaradıla və idarə oluna bilər və istifadəçilər lazım olduqda üzvlükdən əlavə edilə və ya çıxarıla bilər.

Active Directory Təhlükəsizlik Qrupu İcazələri nədir?

Active Directory-dəki icazələr, obyektin kataloqdakı digər obyektlərə və fayllara nə qədər baxmalı və ya dəyişdirməli olduğunu müəyyən edən qaydalar və qaydalar toplusudur. İstifadəçilərin heç vaxt təşkilat daxilindəki bütün resurslara çıxışı olmamalıdır. Buna görə də, istifadəçilərin yalnız ehtiyac duyduqları resurslara çıxışının olmasını təmin etmək üçün İT administratorları Access Control Lists (ACL) vasitəsilə icazələr təyin edirlər.

Active Directory-də Girişə Nəzarət Siyahıları (ACL) nədir?

Active Directory-dəki Girişə Nəzarət Siyahıları obyektə girişi olan obyektləri və giriş növünü müəyyən edir. Bu qurumlar istifadəçi hesabları, kompüter hesabları və ya qruplar ola bilər. Məsələn, əgər fayl obyektinin tərkibində ACL varsa (Mary: read; Sarah: read, write), o, Meriyə faylı oxumaq və Saraya onu oxumaq və yazmaq icazəsi verəcəkdir.

Girişə Nəzarət Siyahısı həm fərdi obyektdə, həm də təşkilati vahiddə (OU) konfiqurasiya edilə bilər ki, bu da OU-nun bütün törəmə obyektlərinin ACL-ni miras alması deməkdir.

Girişə nəzarət siyahılarının növləri

Hər biri özünəməxsus funksiyanı yerinə yetirən iki növ ACL var:

Diskresiyon Girişinə Nəzarət Siyahısı (DACL)

Bu siyahı obyekt üzərində obyektə təyin edilmiş giriş hüquqlarını bildirir. Müəssisə və ya proses obyektə daxil olmağa cəhd etdikdə, sistem aşağıdakılara əsaslanaraq girişi müəyyən edəcək:

  • Əgər obyektdə DACL yoxdursa, sistem hər kəsə ona tam giriş imkanı verir.
  • Əgər obyektin DACL-i varsa, sistem yalnız DACL-də girişə nəzarət girişləri (ACEs) tərəfindən açıq şəkildə icazə verilən girişə icazə verir.
  • Əgər DACL-də məhdud sayda istifadəçi və ya qrupa giriş imkanı verən ACE-lər varsa, sistem ACE-lərə daxil olmayan hər kəsə girişi gizli şəkildə rədd edir.
  • Əgər obyektin DACL-də ACE yoxdursa, sistem heç kimə girişə icazə vermir.
Sistem Girişinə Nəzarət Siyahısı (SACL)

Bu siyahı hansı müəssisənin obyektə giriş əldə etməyə çalışdığını bildirən audit hesabatları yaradır. O, həmçinin müəssisəyə həmin obyektə girişin qadağan edilib-edilmədiyini və ya girişin verildiyini və təqdim edilən girişin növünü bildirir.

Təhlükəsizlik Qrupları E-poçt Göndərmək üçün istifadə edilə bilərmi?

Normal quraşdırmada Exchange və Microsoft 365-də yaradılmış paylama qruplarına defolt olaraq e-poçt ünvanları təyin edilir, lakin təhlükəsizlik qrupları təyin edilmir. Bu o deməkdir ki, təhlükəsizlik qrupları e-poçt paylanması üçün istifadə edilə bilməz.

Bununla belə, təhlükəsizlik qrupunu poçtla aktivləşdirmək , resurslara giriş vermək və e-poçt göndərmək üçün istifadə etmək mümkündür. Buna baxmayaraq, e-poçt üçün təhlükəsizlik qruplarından istifadə etmək yaxşı təcrübə deyil, çünki onların əsas məqsədi resurslara girişi idarə etməkdir. Onlardan e-poçt paylanması üçün istifadə şəbəkə təhlükəsizliyini poza bilər. Məsələn, e-poçtlar üçün təhlükəsizlik qrupundan istifadə edirsinizsə və mesajlarınızdan birində zərərli keçid alırsınızsa, o, müəyyən parametrləri pozaraq təşkilatınızın məxfiliyinə müdaxilə edə bilər.

Əgər təhlükəsizlik qrupunun bütün üzvlərinə e-poçt göndərmək tələbiniz varsa, müvafiq təhlükəsizlik qrupunun üzvlüyünü əks etdirən paylama qrupu yaratmaq daha yaxşıdır.

Active Directory Dağıtım Qrupları

Dağıtım qrupları e-poçtları ayrı-ayrı alıcılara bir-bir göndərməkdənsə, bir qrup istifadəçiyə göndərmək üçün istifadə olunur. Məsələn, İT Marketinq komandasındakı bütün istifadəçilərin üzvləri kimi paylama qrupu yarada bilər. Təşkilatdakı bir istifadəçi bütün Marketinq komandası üzvlərinə e-poçt ünvanlamaq istədikdə, o, sadəcə olaraq Marketinq paylama qrupuna e-poçt göndərə bilər (alıcıları fərdi olaraq əlavə etmək əvəzinə). Bu, vaxta qənaət edir və ünsiyyəti asanlaşdırır.

Active Directory-də Dağıtım Qrupu İcazələri nədir?

Dağıtım qrupları təşkilat daxilində e-poçt mesajları üçün vahid əlaqə nöqtəsi yaratmaq üçün istifadə olunur. Buna görə də, siz paylama siyahılarına icazələr təyin edə bilməzsiniz.

Dağıtım Qrupları Təhlükəsizlik Qrupları tərəfindən idarə oluna bilərmi?

Aktiv kataloq təhlükəsizlik qrupu paylama qrupunun sahibi edilə bilər ki, bu da təhlükəsizlik qrupunun bütün üzvlərinə həmin paylama qrupunu idarə etmək səlahiyyətini verəcək. Təhlükəsizlik qrupu üzvlərinin son istifadəçilərdən daha yüksək imtiyazları varsa, onlar icazələr, çatdırılmayan hesabat alıcıları və mesaj göndərmə/qəbul məhdudiyyətləri kimi paylama qrupları üçün təkmil parametrləri rahat şəkildə idarə edə bilərlər.

Digər tərəfdən, paylama qrupu təhlükəsizlik qrupunun sahibi edilə bilməz. Dağıtım qrupları təhlükəsizlik qrupundan daha az məqsədə xidmət etdiyi üçün, Active Directory-nin təhlükəsizlik problemləri üçün bunu dəstəkləməməsi məntiqlidir.

Dağıtım qruplarını və təhlükəsizlik qruplarını silmək təhlükəsizdirmi?

Dağıtım qruplarının silinməsi təhlükəsizdir və təşkilatınızın təhlükəsizliyinə təhlükə yaratmır. Ən çox, siz qrup üzvlüyünü itirəcəksiniz. Ancaq bunun üçün tələb olunduqda eyni üzvlərlə başqa bir paylama qrupu yarada bilərsiniz.

Buna baxmayaraq, təhlükəsizlik qrupunun silinməsi ciddi nəticələrə səbəb ola bilər. Bu ssenarini nəzərdən keçirin:

  • Üzvlərin müəyyən resurslara çıxışını məhdudlaşdıran təhlükəsizlik qrupu, silindikdə, həmin üzvlərə giriş icazəsi verər.
  • Eynilə, üzvlərinə müəyyən resurslara giriş imkanı verən təhlükəsizlik qrupu, silindikdə həmin girişi ləğv edər.

Bu riskli vəziyyətlərdən qaçmaq üçün təhlükəsizlik qruplarının silinməsini yoxlayın.

Paylama Qrupları və Paylaşılan Poçt Qutuları nələrdir?

Bir təşkilatda birdən çox adam eyni poçt qutusuna giriş tələb etdikdə ortaq poçt qutuları işə düşür. Məsələn, Yardım Masası Xidməti, Dəstək və Qəbul Masası kimi şöbələr tez-tez e-poçt göndərmək və qəbul etmək üçün paylaşılan poçt qutusundan istifadə edirlər ki, onlar təyin edilmiş tapşırıqlar üzərində asanlıqla əməkdaşlıq edə bilsinlər.

Paylaşılan poçt qutusu öz Gələnlər Qutusu, Göndərilən Elementlər və Qaralamalar olan fərdi poçt qutusudur. İstifadəçi paylaşılan poçt qutusundan e-poçt göndərdikdə, o, istifadəçinin öz e-poçt ünvanından deyil, paylaşılan poçt qutusu ünvanından göndərilir. Həmin e-poçtun surəti bütün digər üzvlərin görməsi üçün paylaşılan poçt qutusuna göndərilir.

Bundan əlavə, istifadəçi paylaşılan poçt qutusundakı e-poçtu sildikdə, həmin e-poçt həmin poçt qutusuna girişi olan bütün istifadəçilər üçün silinir. Buna baxmayaraq, istifadəçi e-poçtu paylama siyahısından sildikdə, həmin e-poçt yalnız onun üçün silinir, həmin e-poçtun digər alıcıları üçün deyil.

Təhlükəsizlik Qruplarını və Dağıtım Qruplarını İdarəetmə

Active Directory-dəki qruplar təşkilatda işləyən istifadəçilər arasında əməkdaşlıq üçün istifadə olunur. Dağıtım qrupları sadəcə e-poçt göndərmək üçün istifadə edilsə də, aktiv kataloq təhlükəsizlik qrupları müəssisə daxilində istifadəçi hüquqlarını və icazələrini idarə etmək üçün daha geniş məqsədə xidmət edir. Ümumiyyətlə, təhlükəsizlik qrupları paylama qruplarından daha mürəkkəbdir və monitorinq tələb edir. Təhlükəsizlik qrupunun pozulması mühüm məlumatların itirilməsi və sui-istifadəsi ilə nəticələnə bilər.

Şəbəkənizi kiberhücumlardan qorumaq üçün qruplarınızın təhlükəsiz və yaxşı idarə olunduğundan əmin olun. Əgər kataloq qruplarını idarə etməkdə çətinliklərlə üzləşirsinizsə, biz güclü və ciddi yoxlamalar həyata keçirən GroupID kimi kompleks proqram həllindən istifadə etməyi tövsiyə edirik:

  • Kataloqunuzdakı hər qrup bir məqsədə xidmət edir
  • Hər qrupun bir sahibi var
  • İstifadəçilərə lazımsız üzvlüklər verilmir
  • Heç bir qrup həddindən artıq icazələrlə yüklənmir
  • Ömrü keçmiş qruplar uğurla başa çatdı və ya silindi
  • Dublikat qruplar mövcud deyil və ya digər qruplar üst-üstə düşür

GroupID sizə qrupları ən yüksək etibarlılıq, dəqiqlik və təhlükəsizlik ilə çeşidləmək imkanı verir ki, ətrafınızdakı təhlükəsizlik qruplarını və paylama siyahılarını rahat şəkildə fərqləndirə və idarə edə biləsiniz.