Universal Group Membership Caching

 

در مدیریت گروه ها اشاره شد که نوعی از گروه ها (Group Scope) به نام Universal وجود دارد که می توانند شامل اشیاء (کاربران و گروه های دیگری) از چند دامین در یک Forest (جنگل) باشند. تمام Membership های unversal group از طریق Global Catalog (کاتالوگ جهانی) Replicate خواهد شد. زمانی که یک کاربر logon می کند، عضویت کاربر در Unversal Group ها توسط GC معین می گردد. اگر GC در دسترس نباشد آنگاه Membership ها در Universal Group در دسترس نخواهد بود. از سوی دیگر، ممکن است از یک unversal group برای deny کردن دسترسی (جلوگیری از دسترسی) به منبعی استفاده شده باشد. ویندوز به دلیل عدم بروز مشکل امنیتی به این دلیل از Authentication کاربر سرباز می زند. اگر کاربر قبل از down شدن GC به سیستم وارد شده باشد، با استفاده از cache شدن Credential می تواند به سیستم وارد شود. اما در زمانی که می خواهد به یک منبع از طریق شبکه دسترسی پیدا کند، دسترسی Deny خواهد شد. به صورت خلاصه؛ اگر Global Catalog در دسترس نباشد، به طرز موثری کاربران از دسترسی به منابع روی شبکه باز خواهند ماند.

اگر تمام DC ها GC نیز باشند، این مسئله بر طرف می گردد. از این رو همواره تذکر داده می شود که به صورت ایده آل تمام DC ها GC هستند. اما از سوی دیگر Replication یک نگرانی است و این مسئله سبب می شود که تا از شرایط ایده آل فاصله بگیریم. از این رو، با استفاده از راهکار Universal Group Membership Caching یا UGMC روشی فرآهم می آید تا در صورت در دسترس نبود GC مشکلات به حداقل برسد. به عنوان مثال، زمانی که UGMC روی یک DC در شعبه سازمان تنظیم شده باشد، زمانی که کاربر logon می کند، DC اطلاعات Unversal Group Membership را از GC به دست می آورد و آن اطلاعات را برای مدت نامحدودی Cache می کند. هر هشت ساعت یک بار، DC تلاش می کند تا با استفاده از GC آن اطلاعات را به روز کند. بنابراین اگر کاربر در زمانی که GC در دسترس نیست logon کند، DC می تواند از اطلاعات Cache شده ی خود برای تعیین دسترسی کاربر استفاده کند.

از این رو، شدیدا توصیه می گردد در سایت هایی که دارای یک Link قابل اعتماد (Reliable) به یک GC نیستند قابلیت UGMC را در DC های آن ها فعال کنید. برای تنظیم UGMC:

1) به کنسول Active Directory Sites and Services رفته و سایت مورد نظر را انتخاب کنید.

۲) روی NTDS Site Settings کلیک راست کرده و properties را بزنید.

۳) در زبانه Site Settings می توانید قابلیت Universal Group Membership Caching فعال/غیرفعال کنید.

Universal Group Membership Caching

About mahyar

OrcID: 0000-0001-8875-3362 PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS MCITP: Enterprise AdministratorCCNA, CCNP (R&S , Security)ISO/IEC 27001 Lead Auditor

Check Also

آشنایی با Windows Azure Active Directory

Windows Azure Active Directory سرویسی است که خدمات Identity and access یا به اختصار IDA …