Γεια σας, είμαι o Sof! Μπαίνω και εγώ στο trend των ημερών, το outsourcing. Σήμερα θα δούμε πώς μπορούμε να κρύψουμε συγκεκριμένα objects του Active Directory από επιλεγμένους χρήστες ή Groups.

Παίρνουμε για παράδειγμα το εξής σενάριο .Έχουμε ένα Active Directory Integrated Application που τρέχει στο περιβάλλον μας. Αυτό το application εξυπηρετεί δύο διαφορετικές τράπεζες. Σκοπός μας είναι να μην αφήνουμε τους χρήστες της τράπεζας Α να μπορούν να δουν τα Active Directory objects της τράπεζας Β.

Η λύση σε αυτό το πρόβλημα περιγράφεται εδώ:

Controlling Object Visibility

Καταλάβατε κάτι από το παραπάνω άρθρο; Εγώ ειλικρινά χρειάστηκε να το διαβάσω 5-6 φορές μέχρι να βρω τι παίζει.

Ας δούμε παρέα πως γίνεται.

1) Ανοίγουμε το Active Directory Users and Computers. Δημιουργούμε δύο Organizational Units (OUs), μια για κάθε τράπεζα, μέσα στο ΟU θα βρίσκονται όλα τα objects (users, computers κοκ) της τράπεζας. Δημιουργούμε δύο χρήστες, έναν για κάθε OU για τεστ.

Αν δηλωθούμε σε ένα workstation ως BankA_User και θέλουμε να δώσουμε δικαιώματα σε ένα φάκελο, θα δούμε ότι ψάχνοντας στο Active Directory για ονόματα, ο χρήστης της άλλης τράπεζας είναι μέσα στην λίστα μας.

Προφανώς αυτό δεν πρέπει να συμβαίνει. Για αυτό λοιπόν προχωρούμε με τις ρυθμίσεις μας.

2) Στο Active Directory Users and Computers κάνουμε κλίκ στο View--> Advances Features.

3) Κάνοντας δεξί κλικ επάνω στο Bank B OU --> Properties, παρατηρούμε ότι το Security tab του OU είναι πλέον διαθέσιμο. Στα security settings του Bank B OU προσθέτουμε τον χρήστη BankA_User, και κάνουμε deny στο Read.

4) Αν πάμε τώρα στο workstation που είμαστε δηλωμένοι ως BankA_User και προσπαθήσουμε να επιλέξουμε χρήστες για να τους δώσουμε δικαιώματα στα αρχεία μας, θα δούμε ότι ο χρήστης της άλλης τράπεζας BankB_User δεν είναι εκεί. Αυτό ισχύει φυσικά για οποιοδήποτε άλλο object εντός του OU.

Τα παραπάνω είναι απλά ενδεικτικά. Σε κανονικά περιβάλλοντα δεν είναι δυνατόν να κάνουμε deny σε κάθε χρήστη ξεχωριστά. Μπορούμε όμως να ακολουθήσουμε την ίδια μεθοδολογία με Groups.

Εφόσον κάνουμε τις παραπάνω ρυθμίσεις. οποιοδήποτε application τρέχει με τα credentials του χρήστη από την τράπεζα Α θα του αρνείται η πρόσβαση σε αντικείμενα της τράπεζας Β.

Θα χαρώ να απαντήσω σε ερωτήσεις! Θα τα πούμε σύντομα!