x
تبلیغات

Active Directory

بمنظور افزایش سطح امنیت حساب کاربری در شبکه های مبتنی بر Domain، Workgroup و حتی PC ها، می توان تنظیماتی را انجام داد که در صورت وارد کردن Password اشتباه برای تعداد دفعات مشخص، حساب کاربری آن فرد غیر فعال شود.
بدین منظور باید تنظیماتی را بر روی Group Policy در Domain Controller یا شبکه Workgroup انجام دهید:
برای دسترسی به کنسول مدیریتی Group Policy بر روی DC به روش زیر عمل نمایید:
• ابتدا از منوی Start گزینه Run را انتخاب سپس gpmc.msc را درون آن تایپ نمایید.

 

01 Account Lockout

 

• حال نیاز به ساخت یک GPO دارید تا آن را بر روی OU خاص یا کل Domain اعمال کنید. بدین منظور بر روی نام Domain خود کلیک راست کنید و گزینه Create a GPO in this domain, and link it here… را انتخاب نمایید.

 

02 Account Lockout

 

• در مرحله بعد یک نام برای GPO انتخاب کنید.

 

03 Account Lockout

 

• بر روی GPO ساخته شده کلیک راست کرده و گزینه Edit… را انتخاب نمایید.

 

04 Account Lockout

 

• در ادامه مسیر زیر را دنبال نمایید:

Computer Configuration => Policies => Windows Settings => Security Setting => Audit Policy

 

05 Account Lockout

 

سپس در پنجره سمت راست گزینه Audit account management را انتخاب کنید.
• در پنجره باز شده هر 3 گزینه را به حالت انتخاب در بیاورید.

 

06 Account Lockout

 

• در مرحله بعد به ترتیب زیر عمل کنید.

Account Lockout Policy => Account Policies


07 Account Lockout

 

• در پنجره سمت راست سه گزینه وجود دارد که می بایست تنظیم گردند.

 

08 Account Lockout

 

در ادامه به تشریح هر یک از گزینه ها می پردازیم.

  • Account lockout duration: مدت زمانی که سیستم کاربر Lock می شود و اجازه وارد کردن Password جدید را ندارد. (پیشنهاد ما 30 دقیقه است اما این زمان قابل تغییر می باشد.)
  • Account lockout threshold: تعداد دفعاتی که کاربر مجاز به وارد کردن Password اشتباه است. (پیشنهاد ما 50 بار است ولی تعداد آن قابل تغییر است)
  • Reset account lockout counter after: مدت زمانی که شمارنده Password اشتباه پس از سپری شدن آن ریست می گردد. (پیشنهاد ما 15 دقیقه است ولی زمان آن قابل تغییر می باشد)

نحوه نظارت و مانیتورینگ اکانت های قفل شده

این امکان برای مدیر شبکه وجود دارد که بتواند از رخدادهای اکانت های غیر فعال شده مطلع شود. به این نکته توجه داشته باشید که تمام لاگهای مربوط به اکانت بر روی سروری که نقشPDC Operations Master را در شبکه دارد ذخیره می گردد.
حال این سوال مطرح می شود اگر شما چندDomain Controller داشته باشید چگونه باید سرور PDC را پیدا کنید؟
بدین منظور به روش زیر عمل کنید:
• ابتدا کنسول (ADUC (Active Directory Users and Computers را باز کنید، سپس بر روی نام دامنه کلیک راست و گزینه Operations Master را انتخاب نمایید.

 

09 Account Lockout

 

• حال به سربرگ PDC بروید، در این سربرگ شما نام سروری که نقش PDC را دارد می توانید مشاهده کنید.

 

10 Account Lockout

 

بعد از پیدا کردن سرور مذکور شما می توانید با مراجعه به Event Viewer به دنبال لاگهای کد 4740 بگردید. در این لاگ نام کاربرانی که اکانت آن ها Lock شده به همراه نام کامپیوتر آن ها قابل مشاهده خواهد بود.

 

11 Account Lockout

 

البته بررسی تمام لاگ ها شاید بسیار سخت و زمان بر باشد، لذا می توان ترتیبی اتخاذ کرد که گزارشات با جزئیات کمتر و بصورت تفکیک شده در یک فایل نوشتاری ذخیره و امکان ارسال از طریق ایمیل هم فراهم شود.

 

12 Account Lockout

• برای اینکار می بایست از طریق PowerShell اقدام به نوشتن اسکریپتی کنید که بصورت دستی و یا بصورت زمانبندی شده امکان اجرای خودکار آن ایجاد و گزارش مربوطه برای شما ارسال گردد.

 

Function SendLogs {

$AttachLog = @{

SmtpServer = "mail server"

From = 'email address'

To="email address"

Subject = "Event ID 4740 Lockout Report"

Body = "Here are the previous 24 hours of locked-out account logs."

attachments = $log

}

Send-MailMessage @AttachLog

}

cls

del C:\logs\lockout.log -ErrorAction SilentlyContinue

$log = "C:\logs\lockout.log"

$dateFmt = get-date

$row = $null

"Daily report generated at "+$dateFmt+"`r`n`r`n" | Out-File $log -Append -Encoding "ASCII"

Get-EventLog -logname security -after $dateFmt.adddays(-1) | where {$_.eventID -eq 4740} | foreach-Object {

$row = "" | select TimeLockedOut, AccountName, Computer

$row.TimeLockedOut = $_.TimeGenerated

$row.AccountName = $_.ReplacementStrings[0]

$row.Computer = $_.ReplacementStrings[1]

write-host $row

"$row `r`n" -replace ";","`r`n" -replace "TimeLockedOut"," Account Locked at:" -replace "AccountName","Account Name:" -replace "Computer","Computer:" -replace "@","" -replace "{","" -replace "}","" -replace "="," " | Out-File $log -Append -Encoding "ASCII"

}

if ($row) {SendLogs}else {"No events to process this time." | Out-File $log -Append -Encoding "ASCII"SendLogs}

 

مواردی که در اسکریپت بالا می بایست ویرایش گردد عبارتند از:
"SmtpServer = "mail server: که بجای "mail server” آدرس میل سرور داخلی خود را باید وارد کنید.
"From = "email address: که بجای "email address" آدرسی که قصد دارید ایمیل از طریق آن ارسال شود را وارد کنید. این آدرس می بایست در میل سرور داخلی موجود باشد.
"To = "email address: که بجای "email address" می بایست آدرس ایمیلی را وارد کنید که می خواهد گزارشات به آن ارسال شود، این آدرس می تواند یک ایمیل آدرس خارجی باشد.

 

 

 

ممکن است در بعضی از سناریوها، عملیات ایجاد یک instance در AD LDS با مشکل مواجه شود. در این حالت بهترین روش جهت عیب یابی مشکل بوجود آمده، مراجعه به لاگ فایل های ایجاد شده از سوی ویزارد مرتبط با ایجاد instance مورد نظر می باشد. به صورت پیش فرض، هنگامی که شما در حال ایجاد یک instance می باشد، عملیات در حال انجام، فعالیت های خود را در دو لاگ فایل در مسیر C:\Windows\Debug ذخیره می نماید. این دو فایل ADAMSetup.log و ADAMSetup_loader.log نام دارند. به شکل زیر نگاه کنید:

همانطور که می دانید، مهمترین ابزار مدیریت instanceهای ایجاد شده در سرویس Active Directory Lightweight Directory Services، ابزار ADSI Edit می باشد. این ابزار با نصب سرویس های Active Directory Domain Services و یا Active Directory Lightweight Directory Services در دسترس قرار خواهد گرفت. به منظور دسترسی به این ابزار می توانید از یکی از سه روش زیر استفاده کنید:

با استفاده از دستور nltest می توان به سرعت فهمید که یک دامین کنترلر در چه سایتی قرار دارد. بدین منظور می بایست از سوئیچ dsgetsite/ استفاده کنید. به مثال زیر نگاه کنید:

اگر چنانچه می خواهید عملیات replication میان دو یا چند instance را در سرویس AD LDS مدیریت کنید، یکی از ابزارهای مورد نیاز استفاده از کنسول Active Directory Sites and Services می باشد. بدین منظور می بایست طبق تصاویر زیر عمل کنید:

معرفی نرم افزارهای کاربردی

Netwrix Event Log Manager

Netwrix Event Log Manager

با استفاده از این نرم افزار، می‌توانید رخدادهای به ثبت رسیده در Event Viewer سیستم های موجود در شبکه خود را به صورت متمرکز، بر روی سیستمی که این نرم افزار بر روی آن نصب شده است، مشاهده و یا آرشیو نمایید. همچنین این ابزار این امکان را در اختیار شما می گذارد که بتوانید از ثبت یک رخداد خاص، اطلاع حاصل کنید. به عبارت دیگر، می توانید این نرم افزار را به گونه ای پیکربندی کنید که در صورت ثبت یک رخداد خاص در یک سیستم، این موضوع به اطلاع شما برسد.

اطلاعات بیشتر

خبرنامه

جهت دریافت آخرین اخبار و مقالات، آدرس پست الکترونیکی (ایمیل) خود را در کادر فوق وارد نمایید.