שאלת עירבוב דומיינים

K

kitt

New member
שאלת עירבוב דומיינים

שלום לכולם,
אני מנהל היום רשת שמערבת מחשבים שחברים בדומיינים עם עובדי האירגון, ומחשבים שאינן חברים בדומיין עם יוזר מקומי שאין להם גישה למשאבים כגון שרת ומדפסות.
השאלה שלי היא כזו: הפיתרון הרצוי הוא כמובן שני דומיינים עם VLAN'ים, אבל אז זה מסבך אותי מבחינת עוד שרת אנטי וירוס, החלפת כל הציוד האקטיבי וגישות של אנשי הדומיין למחשבים שכיום לא בדומיין. ההתייעצות שלי היא כזו:
אם אני מצרף את המחשבים הנותרים לדומיין, אבל את המשתמשים שלהם שם בקבוצה מיוחדת שאינה חלק מ Domain Users או כל קבוצה אחרת שיש לה אפשרות גישה למידע בדומיין, האם זה מספק או שאני מחפש צרות?
 
D

DuuGi

New member
וואו קצת עשית ברדק

לא הסברת מה רמת האבטחה הנדרשת אפשר לשים את כל המחשבים באותו דומיין ואפילו על אותו VLAN אם אתה מנהל את האבטחה שלך ברמת הדומיין אתה יכול לתת הרשאות למשאבים לפי קבוצות שונות.
&nbsp
רמת אבטחה כזאת לא תגן עליך מפני משתמשים חכמים בעלי יכולות הקינג שבקלות יוכלו למצוא פירצה ויסניפו לך את ססמת האדמין.
&nbsp
חלוקה לVLAN שונים עדיין תחת אותו דומיין עם הקפדה על פתיחת רק הפורטים הרלוונטים עבור הקבוצות השונות תעזור לך להימנע מהסנפה של השרתים או המחשבים החשובים ולבצע הפרדה "פיזית" בין הרשתות.
במקרה הזהאתה צריך שתשתית הרשת שלך והFW יתמכו בVLANS.
 
K

kitt

New member
מדובר במכללה. רוב הסטודנטים לא עושים רושם של האקרים.

כרגע מחשבי העובדים נמצאים בדומיין ומחשבי הלומדים כולם stand alone, אני מעוניין לנהל אותם יותר נוח (GPO, WSUS וכד'). כרגע ציוד הרשת שלי לא תומך ב VLAN ואני לא יודע אם בזמן הקרוב (או הרחוק) יהיה לזה תקציב, כך שאני כן רוצה לעשות משהו במסגרת האפשרויות המוגבלות שלי, והפתרון שחשבתי עליו הוא שהתלמידים יהיו כולם user'ים אבל לא ב Domain users אלא בקבוצה שאין לה שום הרשאה בשרת האירגון.
אני מודע לזה שבלי הפרדה מוחלטת של VLAN ושני דומיינים המעבר לתוך השרת הוא לא יותר ממשחק ילדים למישהו רציני.
השאלה שלי היא האם בכלל לעשות את השינוי הזה או שעדיף להישאר במצב העכשווי בו היוזר הוא יוזר מקומי רגיל ללא הרשאות אדמין והמחשב לא בדומיין.
 
D

DuuGi

New member
אם אין צורך בניהול משאבים תשאיר ככה

DOMAIN זה מצויין כשצריך לנהל הרשאות וגישה למשאבים בלי שבכל פעם המשתמש יהיה צריך להקליד את הססמה שלו מחדש.
&nbsp
אם מחשבי הספריה לדוגמה לא צריכים שום גישה למשאבים מרכזיים, אין סיבה להוסיף אותם לדומיין מאותה סיבה שרוב האנשים לא יוצרים דומיין אצלם בבית.
 
K

kitt

New member
חשבתי לחבר אותם לדומיין כדי להחיל GPO על המחשבים ולנהל אותם

יותר בקלות עם פחות צעדים ליום
 
C

chocolove

New member
מחשבי סטודנטים

גם אני עובדת במכללה , אחראית על המחשבים.
אני לא יודעת מה כמות המחשבים אצלכם.
אם היתה לי את האפשרות לבטל את הכניסה לדומיין מהמחשבים של הסטודנטים הייתי עושה זאת במיידי.
אצלנו יש שיתוף משאבים, כמות העבודה שכניסה לדומיין יוצרת היא ענקית.:
כניסה למחשב, שינוי הגדרות מחשב, יצירת יוזר למחשב, ושינוי הגדרות פרופיל.
אם מבחינת אבטחת מידע אין לך בעיה להשאיר אצ המצב הקיים ואם כמות המחשבים היא לא גדולה -נניח עד 100 מחשבים , אני לא הייתי משנה כלום .
ועושה שינויים פר מחשב.
מה כמות המחשבים אצלי ? 1,000 ולמרות שיש שרת שמשנה חלק מההגדרות ,עדיין יש מלא עבודה .


--עורך קוד ישראלי היחידי
http://umbrella.org.il
 
K

kitt

New member
תודה לך על ההתייחסות, אני עם בערך 120 תחנות סטודנטים, אני

חשבתי על דרך אמצע, המחשבים בדומיין, ומשתמש או לפי מחשב או אפילו מקומי וכך יש לי GPO למחשבים, ועדיין לא כל יומיים לפתוח ולסגור יוזרים.
&nbsp
 
You must log in or register to reply here.

Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.

למעלה