احمد جهلولی

دسترسی و به روز بودن اطلاعات سازمان برای پرسنل در هر نقطه و مکان

دنبال یک تکنولوژی و راه حلی میگردم که فایلهای که بیشتر پرسنل سازمان با آن سرو کار دارند برای آنها از هر نقطه و مکان در دسترس و به روز باشه. بحث امنیت خیلی برام مهمه و می خوام یکسری Security Policy برای دسترسی به این فایلها ایجاد کنم و تا کسی این Policy ها را راعایت نکرده نتواند با این فایلها کار کند!!!

ساختار شبکه سازمان بصورت دومین هستش و همه پرسنل Join to Domain هستن.

ناگفته نمونه که من از Windows Server 2012 R2 استفاده می کنم.

برای چنین سناریوی چه راهکارهای وجود دارد؟

اگه امکانش هست بیشتر در مورد ایده خود توضیح دهید.

(مهندس نصیری هر چی در مورد من گفتی خودتی D:)

ممنون از همه

#تعیین_سطوح_دسترسی_برای_کاربران #دسترسی_به_فایلهای_بیرون_از_سازمان #مشکل_دسترسی_به_share_های_شبکه
لذت یادگیری با توسینسو
به عنوان شخصی که مدت هاست از سایت توسینسو استفاده می کنم باید بگم که واقعاً یکی از بهترین مرجع ها برای ارتقاء دانش شخصی هست. دوره های سایت، راهکارها و مطالب، همگی عالی هستند.
پارسا یوسفی

خوب اینکه در هر نقطه و هر مکان در دسترس و بروز باشه کاره یه Share Folder که به عنوان درایو برای همه ی User ها Map بشه

Policy هم اگر مثلا می خواین کسی که Antivirusش به روز نیست نتونه دسترسی داشته باشه کاره NPS

یا زمانی که Firewall خاموشه نتونه دسترسی داشته باشه

مجتبی کریمی

برای دسترسی از بیرون هم VPN بهترین راهکار هست.

امید رستمی

سلام

مي تونيد تركيبي از nap و vpn استفاده كنيد

قانون سوم نیوتون میگه وقتی میخوای به یه چیزی برسی،باید از یه چیزی دل بکنی!
احمد جهلولی

خوب اینکه در هر نقطه و هر مکان در دسترس و بروز باشه کاره یه Share Folder که به عنوان درایو برای همه ی User ها Map بشه

من Share Folderها را بر روی یک FTP Server ساختم و این سرور را Publish کردم و پرمیژن لازم را هم به کاربران Domain دادم اینجا ی مشکلی وجود داره!!! سیاست من جوریه که همه باید Force بشن که اطلاعات خود را Encrypt کنند!! و تا کسی این قانون را رعایت نکرده نتونه از فایلهای سازمان استفاده کنه.چون محرمانه هستن. الان اگر یکی از کارمندا تنبلی کرد و اطلاعات خود را Encrypt نکرد تکلیف اون چیه؟

*Policy هم اگر مثلا می خواین کسی که Antivirusش به روز نیست نتونه دسترسی داشته باشه کاره NPS

یا زمانی که Firewall خاموشه نتونه دسترسی داشته باشه*

اگر کارمندا از سیستم های خونگی VPN بزنند و NAP یا NPS را بر روی کانکشن آنها فعال کنم، اصلا برام مهم نیست که سیستم آنها انتی ویروس داشته باشه یا ویندوز ابدیت آنها فعال باشد و....

همچنین می تونستم از محیط cloud استفاده کنم مثل onedrive-Google Drive- dropbox ولی Manageable نیستن چون نمی تونستم هیچ Policyی رو برای کاربران دومین Force کنم هر کسی مختار بود هر جور دلش خواست فایلها رو تعقیر بده. که یک ریسک امنیتی برای سازمان حساب میشه.

در این سناریو از قابلیت Sync هم می خواهم استفاده کنم. یعنی کاربر از هر نقطه جهان بتواند اطلاعاتی که در سازمان استفاده می کرد با فایلهای خود یا فایلهای دیگران Sync کند. (منظورم از دسترس و بروز بودن اینست)

یکی از دوستان بنده سناریوی بالا را پیاده سازی کرده حتی سیاستی هم تعریف کرده که اگر کسی با موبایل یا تبلت یا هر چیز دیگری با فایلهای سازمان کار کرده و آن Device دزدیده شد اتوماتیک آن فایلها از آن دستگاه پاک بشه.

و تمام سناریوی بالا را با سرویسهای Windows Server 2012 R2 پیاده سازی کرده. ولی کصافط بهم نمیگه. الان بنظرتون برم براش!!!! D:

در جستجوی کار.
پارسا یوسفی

حقیقتا نمیدونم دوستتون چیکار کرده اما این داستان و که اگه دزدیده شد بتونین Data رو پاک کنین OneDrive در SharePoint Server 2013 اگر اشتباه نکنم داره

برای Sync خوب بازم OneDrive

در OneDrive دیگه نیاز به ShareFolder ندارین Data رو هم دیگه نیاز نیست همه Encrypt کنن

کاربریش هم سادست تو همهی Device های بازار هم میشه بهش دسترسی داشت

از User های AD هم استفاده میکنین البته انگار OneDrive به صورت Standalone هم قابلیت استفاده داره

من این تیکه رو متوجه نشدم

نمی تونستم هیچ Policyی رو برای کاربران دومین Force کنم

مجتبی کریمی

من فکر نمی کنم سرویس FSRM مایکروسافت چنین قابلیت هایی داشته باشه. شاید با SharePoint چنین چیزی رو پیاده سازی کرده اند.

احمد جهلولی

طبق گفته دوستمون برای پیاده سازی چنین قابلیتی نیازی به SharePoint و OneDrive و VPN نیست.

سروس های cloud را یک مدیر شبکه نمی تواند مدیریت کند.

من نمیتوانم از یک نقطه مرکزی برای همه کاربران دومین یک اکانت onedrive برای پرسنل ایجاد کنم.

من نمی توانم OneDrive همه پرسنل را کنترول کنم.

من نمی توانم Policy رو بر روی OneDrive پرسنل اعمال کنم. و اگر پرسنل این Policy ها را رعایت نکرد اجازه کار با فایلهای سازمان را ندهد.

به خاطر دلایل فوق نمی توانم از سرویس cloud استفاده کنم.

در جستجوی کار.
مجتبی کریمی

اقای جهلولی, MS SharePoint قابلیتی به نام OneDrive for Business داره که دقیقا اون چیزی هست که شما می خواید.

OneDrive For Business

پارسا یوسفی

1-سروس های cloud را یک مدیر شبکه نمی تواند مدیریت کند.

نظری نمیتونم بدم

2-من نمیتوانم از یک نقطه مرکزی برای همه کاربران دومین یک اکانت onedrive برای پرسنل ایجاد کنم.

شما میتونین با powershell script درست کنین که اگه یک user جدید در یک Group ساختین به صورت خودکار واسش Account OneDrive درست کنه

3-من نمی توانم OneDrive همه پرسنل را کنترول کنم.

خوب اینم مثل گزینه 1 :)

4-من نمی توانم Policy رو بر روی OneDrive پرسنل اعمال کنم. و اگر پرسنل این Policy ها را رعایت نکرد اجازه کار با فایلهای سازمان را ندهد.

منظورتون از policy دقیقا چیه اگر مثال بزنین ممنون میشم مثلا AD RMS رو رو فایل ها اعمال کنیم یا ...

احمد جهلولی

متاسفانه تا حالا با SharePoint کار نکردم و از قابلیتهای آن خبر ندارم.

ایا برای استفاده از OneDrive For Business حتما باید SharePoint داشته باشم؟

می توان در OneDrive For Business پالاسی تعریف کرد که کارمند برای دسترسی به فایلهای سازمان از User & pass اکتیو دایرکتوری استفاده کنند؟ یا همه را Fore کرد که حتما باید داده های خود را رمزگذاری کنند؟

ایا می شود OneDrive For Business را از خود Group Policy مدیریت کرد؟

یک سوال دیگه:

به هیچ عنوان نمی شود از خود قابلیتهای Win Server 2012 R2 برای چنین سناریوی استفاده کرد؟

ممنون از شما

در جستجوی کار.
احمد جهلولی

شما میتونین با powershell script درست کنین که اگه یک user جدید در یک Group ساختین به صورت خودکار واسش Account OneDrive درست کنه

این اکانت کجا ایجاد میشه؟ روی Active Directory یا جائی دیگه؟

منظورتون از policy دقیقا چیه اگر مثال بزنین ممنون میشم مثلا AD RMS رو رو فایل ها اعمال کنیم یا ...

درسته یسری Policy مثل پالسی های AD RMS رو میخوام اعمال کنم. همانطور که می دونید Policyهای AD RMS بصورت Force اعمال میشه.

در جستجوی کار.
پارسا یوسفی

بیشتر اطلاعاتی که من در رابطه با OneDrive دارم در اینترنت مطالعه کردم

پیشنهاد میکنم خودتون در اینترنت جستجو کنین و خوشحال میشم نتیجه رو به ما اعلام کنین یا در قالب مقاله ای در سایت به معرفی OneDrive بپردازین

1-این اکانت کجا ایجاد میشه؟ روی Active Directory یا جائی دیگه؟

بهتر بود من بگم Drive رو ایجاد میکنه و از همون اکانت AD استفاده میکنه

2-درسته یسری Policy مثل پالسی های AD RMS رو میخوام اعمال کنم. همانطور که می دونید Policyهای AD RMS بصورت Force اعمال میشه.

بله این امکان وجود داره

نیازی به Encrypt دیتا توسط user نیست لینک

برای مدیریت OneDrive با GP یه چیزهایی وجود داره

در ویندوز سرور من سرویسی با این امکانات سراغ ندارم

در نهایت پیشنهاد میکنم در یک Lab این سناریو رو پیاده سازی کنین بعد نسبت به راه اندازیش در مجموعه اقدام کنین

میتونین از این فرصت استفاده کنین و سری ویدیو های آموزشی OneDrive رو هم در سایت داشته باشیم

احمد جهلولی

من به سوالم نرسیدم ایا برای استفاده از OnDrive حتما باید SharePoint داشته باشم؟

در جستجوی کار.
مجتبی کریمی

بله. شما باید حتما SharePoint داشته باشید. این دوستتون هم احتمال زیاد از SharePoint استفاده می کنه. چون دقیقا از Feature های OneDrive For Bussiness داره استفاده می کنه. مگر اینکه از یک نسخه Customized شده Windows Server استفاده می کنه.

SharePoint در این زمنیه برای اهراز هویت از AD استفاده می کنه و Security Policy و Compliance Feature های زیادی داره برای مدیریت IT. من خودم تجربه تو محیط تست هم ندارم از SharePoint ، این موضوع رو هم در اینترنت خونده بودمو امروز سر این پست یادم اومد!

پارسا یوسفی

ببخشید من یادم رفت پاسخ این سوال رو بدم

اما MK94 درست میفرماین OneDrive رو میتونین با SharePoint Server 2013 پیاده سازی کنین

فکر میکنم تو 70-347 یه چیزایی از OneDrive پیدا بشه

احمد جهلولی

واقعا که؟؟؟ هیچ کدام از ما از قابلیتهای جدید Windows Server 2012 خبر نداره.

بهترین راهکاری که برای این سناریو استفاده میشه قابلیت Work Folders هستش. نه نیاز به SharePoint داره ونه به VPN, OneDrive و نه NAP

وب سایت توسینسو

شما می توانید از این قابلیت در هر دیوایسی استفاده کنید.Windows phone , IOS و همچنین بزوردی می توان این ابزار را بر روی موبایلهای android داشته باشید.

وب سایت توسینسو

Work Folders provide access to the latest data, no matter whether the users are located internally or externally. In other words, the Work Folders technology is providing almost same functionality as cloud services, but with one big difference—the work folders are manageable. When using Work Folders, administrators can manage the stored data as well as the users' connections to Work Folders. Administrators can enforce the encryption of Work Folders, control which users can use this functionality, and enforce security settings on the devices that use Work Folders, even if they're not a domain member.

The Work Folders functionality is actually a subrole of the File and Storage Services role and can easily be installed with Server Manager.

وب سایت توسینسو

  • you can configure additional security settings for devices being used to access Work Folders you can require encryption and automatically lock screens, which must be unlocked with a password.*

وب سایت توسینسو

You can configure Windows 8.1 or Windows RT 8.1 clients to use Work Folders manually or automatically with Group Policy. For domain-joined computers,

وب سایت توسینسو

the connection is being made using HTTP Secure (HTTPS), which makes Work Folders pretty simple for publishing. If the users are logged on as local users, after they provide the URL, they must provide valid AD credentials before the Work Folders functionality is configured on their machines. Also, they must to accept the security policies . Basically, the users agree to let the organization's administrator manage the data in their Work Folders and apply security measures to their machines.

وب سایت توسینسو

Deploying Work Folders

https://technet.microsoft.com/en-us/library/dn528861.aspx#step6

Windows Server 2012 R2 Work Folders

http://windowsitpro.com/windows-server-2012-r2/windows-server-2012r2-work-folders
در جستجوی کار.
پارسا یوسفی

eee یادم نبود اصلا

مثلا من میدونستم همچین Roleی با این قابلیت ها وجود داره :)

چه عالی حتما یکبار تستش میکنم

موفق باشی

احمد جهلولی

همیشه دوست دارم چنین بحث های در انجمن باشه ولی متاسفانه بعضیا فکر می کنند قصد جدال یا به رخ کشیدن اطلاعات خودم رو دارم. یکی از مزیتهای بحث اشنا شدن با بعضی از متد های جدید هستش. من به هیچ وجه فکر نمی کردم OneDrive For Bussiness تا حدودی چنین قابلیتی را داره.

ممنون از مشارکت شما

در جستجوی کار.
مجتبی کریمی

برای اتصال از اینترنت باید پورت 443 رو به File Server ای که این Feature روش فعال شده رو NAT کنیم ، تنها؟

تبادل اطلاعات خوبی بود. Work Folder رو می دونستم چی هست اما فکر نمی کردم تا این حد قابلیت داشته باشه!

احمد جهلولی

برای اتصال از اینترنت باید پورت 443 رو به File Server ای که این Feature روش فعال شده رو NAT کنیم ، تنها؟

Windows Firewall should open port 80 and 443 for Work Folders

در جستجوی کار.
پاسخ شما
برای ارسال پاسخ خود وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....