100 نکته برای مدیریت مؤثرتر شبکه‌ها

اشاره : مدیر سیستم یا System Administrator امروزه نقش پررنگی را در سازمان‌ها و مراکز مجهز به سیستم‌های کامپیوتری و شبکه‌های کامپیوتر ایفا می‌کند.

مدیر سیستم یا System Administrator امروزه نقش پررنگی را در سازمان‌ها و مراکز مجهز به سیستم‌های کامپیوتری و شبکه‌های کامپیوتر ایفا می‌کند. این مسئولیت طیف وسیعی از وظایف از نصب و آماده‌سازی تجهیزات Passive و سخت‌افزاری تا پیاده‌‌سازی نرم‌افزار و پشتیبانی را در بر می‌گیرد. امروزه در برخی از سازمان‌ها وضعیت به‌گونه‌ای است که هر یک از وظایف یادشده به‌تنهایی دارای چنان حجمی هستند که مدیر سیستم به‌تنهایی قادر به انجام کلیه وظایف یاد شده نیست. در چنین سازمان‌هایی تعریف وظایف مدیر سیستم ساختار پیچیده‌ای داشته و به‌دلیل حساسیت‌های موجود در برخی موارد ترجیح داده می‌شود تا در هر حیطه به‌طور جداگانه از افراد متخصص استفاده شود. در این وضعیت نقش مدیر سیستم نقشی نظارتی بوده و وظیفه وی ایجاد هماهنگی در بین واحدهای مختلف اعم از سخت‌افزار، نرم‌افزار و پشتیبانی خواهد بود.  چنین وضعیتی فقط در سازمان‌های بزرگ و دارای وسعت و تنوع سیستمی مشاهده می‌شود. اما در عمده موارد، شخص مدیر سیستم مسئولیت راهبری کلیه واحدها را برعهده داشته و به‌همین دلیل باید تسلط خوبی بر کلیه حوزه‌های زیرمجموعه داشته باشد.

فهرست محتوا:

10 نکته درباره رفع ایرادهای اتصالات VPN
10 نکته درباره امنیت ارتباطات بی‌سیم
10 نکته درباره تنظیمات دامین‌ها در Active Directory
10 نکته درباره ابزار NETSH
10 نکته درباره کار با مجوزها
10 نکته درباره Microsoft SQL Server 2005
10 نکته درباره سرویس‌های Microsoft SharePoint
10 نکته درباره سرویس به‌روزرسانی ویندوز سرور
10 نکته درباره فهرست‌های کنترل دسترسی Cisco IOS
10 نکته درباره مدیریت پروژه‌های IT

10 نکته درباره رفع ایرادهای اتصالات VPN

Virtual Privacy Network) VPN)

1 - دسترسی کاربران به فایل سرورها امکان‌پذیر نیست

اگر کاربران از طریق آدرس IP امکان دسترسی به فایل سرور را داشته باشند، اما با استفاده از نام سرور نتوانند با سرور ارتباط برقرار کنند، محتمل‌ترین دلیل، وجود ایراد در Name Resolution یا تشخیص نام است. تشخیص نام می‌تواند در نام‌  هاست NetBIOS یا DNS مشکل ایجاد کند.

اگر سیستم‌عامل کلاینت به NetBIOS وابسته باشد، کلاینت‌های VPN می‌توانند از طریق سرور VPN آدرس سرور WINS را تعیین کنند، اما اگر سیستم‌عامل کلاینت ترجیحاً از DNS استفاده می‌کند، کلاینت‌های VPN از طریق یک سرور DNS داخلی به نام سرور شبکه داخلی دسترسی پیدا می‌کنند. 

هنگام استفاده از DNS برای تخصیص نام‌های شبکه داخلی از توانایی کلاینت‌ها برای تعیین صحیح نام دامین‌های دارای مجوز شبکه سازمانی اطمینان حاصل کنید. این مشکل اغلب زمانی به‌وجود می‌آید که کامپیوترهای خارج از دامین برای دسترسی و استفاده از نام سرورهای موجود در شبکه داخلی، که پشت VPN قرار دارند، به استفاده از DNS اقدام می‌کنند.

2 - کاربران نمی‌توانند به هیچ منبعی روی شبکه سازمانی دسترسی پیدا کنند

 در بعضی مواقع کاربران می‌توانند به سرور VPN راه دور متصل شوند، اما نمی‌توانند به هیچ‌کدام از منابع موجود روی شبکه سازمانی دسترسی پیدا کنند. در چنین مواردی کاربران نمی‌توانند نام ‌هاست را شناسایی کرده و حتی قادر نیستند به منابع موجود در شبکه سازمانی Ping کنند.

رایج‌ترین دلیل وقوع این مشکل این است که کاربران به شبکه‌ای متصل هستند که ID شبکه آن با شبکه سازمانی مستقر در پشت سرور VPN یکسان است. به‌عنوان مثال، کاربر به شبکه پرسرعت یک هتل متصل شده و به این ترتیب ID شبکه پس از تخصیص آدرس IP اختصاصی به‌صورت 24/10.0.0.0 اختصاص یافته است.

حال چنان‌چه شبکه سازمانی نیز روی همین ID شبکه 24/10.0.0.0تعریف شده باشد، آن‌گاه کاربر قادر به اتصال به شبکه سازمانی خود نخواهد بود، زیرا ماشین کلاینت VPN آدرس مقصد را به‌صورت شبکه‌ای محلی می‌بیند و اتصال شبکه راه دور را از طریق رابط VPN ارسال نمی‌کند.

دلیل عمده دیگر برای عدم موفقیت در اتصال این است که کلاینت‌های VPN اجازه دسترسی به منابع موجود روی شبکه سازمانی را به‌دلیل قوانین تعیین شده از جانب فایروال نمی‌یابند. راه‌حل این مشکل پیکربندی فایروال به‌گونه‌ای است که اجازه دسترسی به منابع شبکه‌ای را به کلاینت‌های VPN بدهد.

3 - کاربران نمی‌توانند از پشت ابزارهای NAT به سرور VPN متصل شوند

اغلب روترهای NAT و فایروال‌ها به اصطلاح از پشت ابزارهای NAT از پروتکل PPTP VPN پشتیبانی می‌کنند. هرچند برخی از فروشندگان طراز اول تجهیزات شبکه‌ای، ویرایشگر NAT را در پروتکل PPTP VPN خود تعبیه نمی‌کنند. اگر کاربری در پشت چنین ابزاری واقع شده باشد، ارتباط VPN برای اتصال از طریق PPTP با شکست مواجه خواهد شد. البته، ممکن است با دیگر پروتکل‌های VPN کار کند.

همه ابزارهای NAT و فایروال‌ها در کار با پروتکل‌های VPN مبنی بر IPSec از IPSec پشتیبانی می‌کنند. این پروتکل‌های VPN شامل پیاده‌سازی‌های اختصاصی مد تونل IPSec و L2TP/IPSec سازگار با RFC خواهند بود. همچنین این دسته از پروتکل‌های VPN می‌توانند با استفاده از (Encapsulating) ارتباطات IPSec و در هدر UDP از پیمایش NAT یا (NAT Traversa) پشتیبانی کنند.

چنان‌چه سرور و کلاینت VPN شما از پیمایش NAT پشتیبانی کرده و کلاینت تمایل دارد از L2TP/IPSec برای اتصال به سرور سازگار با NAT استفاده کند، رایج‌ترین دلیل برای این مشکل این است که کلاینت از سیستم‌عامل Windows XP SP2 استفاده می‌کند.

سرویس پک 2 پیمایش NAT Traversal را روی کلاینت‌های L2TP/IPSec به‌اصطلاح می‌شکند. شما می‌توانید این مشکل را از طریق ویرایش رجیستری روی کلاینت VPN آن‌گونه که در آدرس زیر توضیح داده شده حل کنید.

http://support.microsoft.com/default.aspx?scid=kb;en-us;885407

4 – کاربران از سرعت پایین شکایت دارند
سرعت کم یکی از مشکلاتی است که برطرف کردن آن بسیار دشوار است. دلایل زیادی برای کاهش کارایی ارتباط VPN وجود دارد و نکته مهم آن هم این است که کاربران بتوانند توضیح دهند دقیقاً در زمان انجام چه کاری با افت کارایی و کاهش در سرعت روبه‌رو می‌شوند.

یکی از عمده‌ترین موارد هنگام کاهش کارایی ارتباط VPN زمانی است که کلاینت در پشت شبکه DSL قرار گرفته و از پروتکل PPPoE استفاده می‌کند. چنین ارتباطات شبکه‌ای معمولاً موجب بروز مشکلات مرتبط با MTU شده که می‌توانند بر هر دو عامل اتصال و کارایی تأثیرگذار باشند. برای اطلاعات بیشتر درخصوص موارد مرتبط با MTU در کلاینت‌های ویندوزی به آدرس زیر مراجعه کنید.

http://support.microsoft.com/default.aspx?scid=kb;en-us;283165

5 – کاربران از طریق PPTP متصل می‌شوند، اما امکان اتصال از طریق L2TP/IPSec وجود ندارد

PPTP پروتکل ساده‌ای برای پیکربندی و تنظیم روی سرور و کلاینت VPN است. فقط کافی است که کاربر از نرم‌افزار کلاینت توکار VPN که به‌همراه تمام نسخه‌های سیستم‌عامل ویندوز ارائه می‌شود استفاده کرده و نام کاربری و کلمه عبور معتبر اکانتی را که مجوز دسترسی از راه دور را دارد، در اختیار داشته باشد.

اگر کامپوننت سرور VPN براساس مسیریابی ویندوز و Remote Access Service باشد، به‌سادگی تنظیم شده و پس از اجرای یک راهنمای پیکربندی کوتاه به‌طور خودکار اجرا خواهد شد. L2TP/IPSec قدری پیچیده‌تر است. اعتبار کاربر و ماشین وی باید توسط سرور VPN تأیید شوند.

تأیید اعتبار ماشین می‌تواند از طریق یک کلید مشترک (Pre-shared Key) یا ماشین ثبت‌شده صورت گیرد. اگر از کلید مشترک استفاده می‌کنید (که معمولاً به دلایل امنیتی توصیه نمی‌شود)، بررسی کنید که آیا کلاینت VPN برای استفاده از همان کلید مشترک پیکربندی شده یا خیر؟ اگر از روش ثبت ماشین استفاده می‌کنید نیز مطمئن شوید که کلاینت VPN مجوز مربوطه را دارد یا خیر؟

6 – اتصال VPN سایت‌به‌سایت برقرار می‌شود، اما هیچ ترافیکی بین گیت‌وی‌های VPN جابه‌جا نمی‌شود
هنگامی که یک ارتباط VPN سایت‌به‌سایت بین سرورهای RRAS ویندوزی ایجاد می‌کنید، این امکان وجود دارد که اتصال VPN درظاهر برقرار نشان داده شود، اما ترافیکی میان شبکه‌های متصل‌شده رد و بدل نشود. اشکال در شناسایی نام سرورها ایجاد شده و‌هاست‌ها حتی قادر به پینگ کردن به شبکه راه دور نیز نیستند.

عمده‌ترین دلیل برای بروز این مشکل این است که هر دو طرف اتصال سایت به سایت روی یک ID شبکه یکسان هستند. راه‌حل آن نیز تغییر الگوی آدرس‌دهی IP روی یک یا هر دو شبکه‌ بوده تا به‌این ترتیب، تمام شبکه‌های متصل‌شده به‌صورت سایت به سایت روی IDهای شبکه متفاوتی قرار داشته باشند.

7 – کاربران نمی‌توانند از پشت فایروال به ارتباط در مُد تونل IPSec اقدام کنند
به‌طور معمول سرور VPN و کلاینت‌ها به‌طور صحیح پیکربندی می‌شوند تا بتوانند از مُد تونل IPSec  یا ارتباط L2tp/IP Sec NAT-T برای ارتباط با یک سرور VPN  استفاده کنند و در نتیجه ارتباط با شکست مواجه می‌شود. در برخی مواقع این اتفاق را بعد از برقراری اتصال موفق اولین کلاینت مشاهده می‌کنید، اما کلاینت‌های بعدی که در پشت همان ابزار NAT قرار دارند، با شکست در ارتباط روبه‌رو می‌شوند.

دلیل بروز این مشکل این است که تمام سرورهای IPSec NAT-T VPN با RFC سازگار نیستند. سازگاری با RFC نیازمند این است که سرور مقصد NAT-T VPN از تماس‌های IKE روی پورت منبع UDP 500 پشتیبانی کرده تا آن‌هابتوانند ارتباطات چندگانه را از چندین کلاینت در پشت یک گیت‌وی VPN واحد مالتی‌پلکس کنند.

حل این مشکل از طریق تماس با فروشنده سرور VPN و حصول اطمینان از این‌که پیاده‌سازی  VPN IPSec NAT-T با RFC سازگاری دارد یا خیر، امکان‌پذیر خواهد بود. اگر این‌گونه نبود، از فروشنده درباره وجود Firmware برای به‌روز رسانی سؤال کنید.

8 – کاربران نمی‌توانند به برخی از IDهای شبکه سازمانی دسترسی پیدا کنند
برخی از اوقات کاربران مواردی را گزارش می‌کنند که در آن ذکر شده، می‌توانند بعد از برقراری ارتباط VPN به برخی از سرورها دسترسی پیدا کنند، اما بقیه سرورها قابل دسترسی نیستند. آنان وقتی ارتباط خود را آزمایش می‌کنند، مشاهده می‌کنند که نمی‌توانند با استفاده از نام یا آدرس IP به سرور مورد نظر خود پینگ کنند.

دلیل عمده برای این مشکل این است که سرور VPN ورودی‌های جدول روزمره را برای تمام IDهای شبکه‌هایی که کاربر نمی‌تواند به آنان متصل شود، در اختیار ندارد. کاربران فقط قادر به اتصال به سرورهایی هستند که روی زیرشبکه سرور VPN باشند، اما از طریق سرور VPN قادر به ارتباط با IDهای شبکه راه‌دور نیستند.
 
راه‌حل این مشکل پرکردن جدول مسیریابی روی سرورVPN به‌گونه‌ای‌ است که آدرس گیت‌وی تمام IDهای شبکه‌هایی را که VPN باید به آنان متصل شود، در آن وجود داشته باشد.

9 – کاربران هنگام اتصال به سرور VPN قادر به اتصال به اینترنت نیستند
در برخی مواقع کاربران نمی‌توانند پس از این‌که اتصال VPN برقرار شد، به اینترنت متصل شوند. در این‌حالت همزمان با قطع ارتباط VPN کاربران در اتصال به اینترنت مشکلی نخواهند داشت. این مشکل زمانی مشاهده می‌شود که نرم‌افزار کلاینت VPN برای استفاده از سرور VPN به عنوان گیت‌وی پیش‌فرض خود پیکربندی شده‌باشد. این تنظیم، تنظیم پیش‌فرض نرم‌افزار کلاینت VPN مایکروسافت است.

از آنجا که همه ‌هاست‌ها دور از محل کلاینت VPN مستقر هستند، ارتباطات اینترنت به‌سمت سرور VPN مسیردهی خواهند شد. اگر سرور VPN به‌گونه‌ای پیکربندی نشده باشد که ارتباط با اینترنت را از طریق کلاینت‌های VPN میسر سازد، هرگونه تلاشی برای اتصال به اینترنت با شکست روبه‌رو خواهد شد.

راه‌حل این مشکل پیکربندی سرور VPN به‌گونه‌ای است تا به کلاینت‌ها اجازه دسترسی به اینترنت را بدهد. سرور RRAS ویندوز و بسیاری از فایروال‌ها از چنین پیکربندی پشتیبانی می‌کنند. در برابر اصرار برای غیرفعال کردن تنظیمات پیکربندی کلاینت VPN جهت استفاده سرور VPN از گیت‌وی پیش‌فرض خود مقاومت کنید. زیرا این کار ویژگی Split Tunneling را که یکی از تهدیدات شناخته‌شده و خطرناک امنیتی محسوب می‌شود، فعال خواهد کرد.

10 – چندین کاربر با استفاده از یک مجوز اعتبار PPP به سرور VPN متصل می‌شوند

یکی از خطراتی که تمام سازمان‌هایی را که اقدام به پیاده‌سازی امکانات دسترسی راه‌دور به سرور VPN می‌کنند، تهدید می‌کند، این‌است که کاربران اطلاعات مربوط به نام کاربری و کلمه عبور را با یکدیگر به اشتراک می‌گذارند. در بسیاری از پیاده‌سازی‌های سرور VPN شما قادر خواهید بود نه‌تنها پیش از برقراری ارتباط VPN نسبت به بررسی اعتبار و مجوز کاربر اقدام کنید، بلکه اگر آن کاربر به دسترسی به شبکه از طریق VPN مجاز نبود، درخواست لغو ارتباط به سرور صادر شود.

اگر کاربران به استفاده اشتراکی از مجوزها اقدام کنند، این عمل وضعیتی را ایجاد خواهد کرد تا کاربران غیرمجاز بتوانند با استفاده از مجوز کاربران مجاز به شبکه متصل شوند. یک راه‌حل برای این مشکل استفاده از الگوهای اضافی بررسی اعتبار است.

به‌عنوان مثال، شما می‌توانید مجوز کلاینت کاربر را نیز بررسی کنید. به‌این ترتیب، هیچ کاربر دیگری نمی‌تواند با مجوز یک کاربر مجاز وارد شبکه شود. انتخاب دیگر استفاده از کارت‌های هوشمند، ابزارهای بیومتریک و دیگر روش‌های دو فاکتوری تعیین هویت است.

10 نکته درباره امنیت ارتباطات بی‌سیم

Wireless Security

1 – استفاده از رمزنگاری

رمزنگاری مهم‌ترین و اصلی‌ترین ابزار امنیتی به‌حساب می‌آید، با ‌وجود این، در بسیاری از نقاط دسترسی بی‌سیم (WAP) ویژگی رمزنگاری به‌صورت پیش‌فرض فعال نیست. اگر چه اغلب WAPها از پروتکل WEP (سرنام Wired  Equivalent  Privacy) پشتیبانی می‌کنند، اما این پروتکل نیز به‌صورت پیش‌فرض فعال نیست.
 
WEP دارای چند نقیصه امنیتی بوده و یک هکر مسلط می‌تواند به آن نفوذ کند، اما در حالت کلی وجود آن بهتر از عدم وجود هرگونه پروتکل رمزنگاری خواهد بود. اطمینان حاصل کنید که روش تأیید WEP به‌جای Open System روی Shared Key تنظیم شده باشد.

روش دوم، دیتاها را رمزنگاری نمی‌کند، بلکه تنها اقدام به بررسی اعتبار کلاینت می‌کند. تغییر دادن کلید WEP در بازه‌های زمانی مشخص و حداقل استفاده از الگوی 128 بیتی روش‌هایی هستند که به بهبود امنیت شبکه بی‌سیم شما کمک شایانی خواهند کرد.

2 – از رمزنگاری قوی‌تری استفاده کنید

به‌دلیل وجود برخی نقاط ضعف در WEP می‌توانید به‌جای آن از پروتکل WPA (سرنام Wi-Fi  Protected Access)  استفاده کنید. برای استفاده از WPA، پروتکل WAP شما باید از آن پشتیبانی کند (با ارتقای فریم ویر می‌توانید پشتیبانی از این پروتکل را به نسخه‌های قدیمی‌تر WAP بیافزایید) همچنین کارت شبکه بی‌سیم (NIC) شما نیز باید مناسب کار با این پروتکل بوده و نرم‌افزار بی‌سیم کلاینت نیز از آن پشتیبانی کند.

Windows XP SP2 به‌عنوان پیش‌فرض کلاینت WPA را نصب می‌کند. ماشین‌هایی را که روی آنان SP1 نصب شده است نیز می‌توانید با استفاده از بسته Wireless Update Rollup Package را به کلاینت Windows WPA مجهز کنید 
(آدرس http://support.microsoft.com/kb/826942/ را مشاهده کنید).

یکی دیگر از گزینه‌های رمزنگاری استفاده از IPSec است. البته، شرط استفاده از آن، پشتیبانی روتر بی‌سیم شما از این پروتکل خواهد بود.

3 – کلمه عبور پیش‌فرض Administration را تغییر دهید
اغلب تولیدکنندگان از کلمه عبور مشخصی برای رمز عبور Administration کلیه نقاط دسترسی بی‌سیم خود استفاده می‌کنند. این کلمات عبور مشخص و ثابت در نزد هکرها شناخته شده بوده و می‌توانند به‌سادگی از آن برای تغییر تنظیمات WAP شما استفاده کنند. اولین کاری که باید هنگام تنظیم یک WAP انجام دهید، تغییر رمز عبور، به رمزی قوی‌تر، با حداقل هشت کاراکتر طول و استفاده ترکیبی از حروف و اعداد و استفاده نکردن از کلمات موجود در فرهنگ لغت است.

4 – ویژگی انتشار SSID را خاموش کنید

SSID (سرنام Service Set  Identifier) نام شبکه بی‌سیم شما را مشخص می‌کند. به‌عنوان پیش‌فرض اغلب WAPها SSID را نمایش می‌دهند. این‌کار موجب می‌شود تا کاربران به‌راحتی بتوانند شبکه را پیدا کنند، زیرا در این‌صورت نام شبکه بی‌سیم در فهرست شبکه‌های قابل دسترس و روی کلاینت بی‌سیم قابل مشاهده خواهد بود.

اگر نمایش نام SSID را خاموش کنید کاربران ناچار خواهند بود تا برای اتصال به شبکه بی‌سیم از نام آن اطلاع داشته باشند. برخی معتقدند، این‌کار بی‌فایده است، زیرا هکرها می‌توانند با استفاده از نرم‌افزار Packet Sniffing نام SSID را (حتی اگر ویژگی نمایش آن خاموش باشد) پیدا کنند.

این مطلب صحیح است، اما چرا باید کار را برای آنان آسان کنیم؟ این مطلب مانند این است که بگوییم از آنجا که سارقان می‌توانند شاه‌کلید تهیه کنند، پس به‌کارگیری قفل روی درب منازل کار بیهوده‌ای است. خاموش کردن گزینه Broadcasting SSID نمی‌تواند مانع از کار یک هکر ماهر شود، اما مطمئناً جلوی کاربران کنجکاو و ماجراجو را (به‌عنوان مثال، همسایه‌ای که متوجه وجود شبکه بی‌سیم شده و می‌خواهد فقط به‌خاطر سرگرمی به آن نفوذ کند) خواهد گرفت.

5 – WAP را در مواقع غیرلازم خاموش کنید

این مورد ممکن است خیلی ساده‌انگارانه به‌نظر آید، اما شرکت‌ها و اشخاص انگشت‌شماری یافت می‌شوند که این‌کار را انجام دهند. اگر کاربران بی‌سیم شما در ساعات مشخصی به شبکه متصل می‌شوند، دلیلی وجود ندارد تا شبکه بی‌سیم شما در تمام طول شبانه‌روز روشن باشد تا فرصتی را برای مهاجمان فراهم آورد. شما می‌توانید در مواقعی که به نقطه‌دسترسی نیازی ندارید آن را خاموش کنید. مانند شب‌ها که همه به منازل خود می‌روند و هیچ‌کس به ارتباط بی‌سیم احتیاجی ندارد.

6 – SSID پیش‌فرض را تغییر دهید

تولیدکنندگان WAPها اسامی ثابت و مشخصی را برای SSID به کار می‌برند. به‌عنوان مثال، دستگاه‌های Linksys از همین نام برای SSID استفاده می‌کنند. پیشنهاد خاموش کردن نمایش SSID برای جلوگیری از اطلاع دیگران از نام شبکه شما است، اما اگر از نام پیش‌فرض استفاده کنید، حدس زدن آن کار سختی نخواهد بود. همان‌طور که اشاره شد هکرها می‌توانند از ابزارهای مختلفی برای پی بردن به SSID استفاده کنند، به همین دلیل، از به کار بردن نام‌هایی که اطلاعاتی را درباره شرکت شما به آنان می‌دهد (مانند نام شرکت یا آدرس محل) خودداری کنید.

7 – از فیلتر MAC استفاده کنید
اغلب WAPها (به‌جز انواع ارزان‌قیمت) به شما اجازه خواهند داد از سیستم فیلترینگ آدرس‌های MAC (سرنامMedia Access Control )استفاده کنید. این به‌این معنی است که شما می‌توانید «فهرست سفیدی» از کامپیوترهایی را که مجاز به اتصال به شبکه بی‌سیم شما هستند بر مبنای MAC یا آدرس فیزیکی کارت‌های شبکه تعریف کنید. درخواست‌های ارتباط از سوی کارت‌هایی که آدرس MAC آن‌ها در این فهرست موجود نیست، از جانب AP رد خواهد شد.

این روش محفوظ از خطا نیست، زیرا هکرها می‌توانند بسته‌های اطلاعاتی رد و بدل شده در یک شبکه بی‌سیم را برای تعیین مجاز بودن آدرس MAC امتحان کنند و سپس از همان آدرس برای نفوذ به شبکه استفاده کنند. با این‌حال، این کار باز هم قدری موضوع را برای «مهاجمان احتمالی» مشکل‌تر خواهد کرد. چیزی که موضوع اصلی در امنیت است.

8 – شبکه بی‌سیم را از دیگر شبکه‌ها جدا سازید

برای محافظت از شبکه باسیم داخلی خود در برابر تهدیدهایی که از طریق شبکه بی‌سیم وارد می‌شوند می‌توانید نسبت به ایجاد یک DMZ بی‌سیم یا شبکه‌ای محیطی که در برابر LAN ایزوله شده اقدام کنید. برای این‌کار می‌توانید با قرار دادن یک فایروال میان شبکه بی‌سیم و LAN هر دو شبکه را از یکدیگر جدا کنید.

پس از آن باید برای دسترسی کلاینت‌های بی‌سیم به منابع شبکه‌ای در شبکه داخلی، هویت کاربر را از طریق شناسایی توسط یک سرور راه‌دور یا به‌کارگیری از VPN تأیید کنید. این‌کار موجب ایجاد یک لایه محافظتی اضافی خواهد شد.

برای اطلاعات بیشتر درباره چگونگی دسترسی به شبکه از طریق VPN و ایجاد DMZ بی‌سیم با استفاده از فایروال ISA Server مایکروسافت، به آدرس زیر مراجعه کنید (برای دستیابی به این آدرس به یک حق عضویت Tech ProGuil نیاز خواهید داشت):

http://techrepublic.com.com/5100-6350_11-5807148.html

9 – سیگنال‌های بی‌سیم را کنترل کنید

یک WAP نمونه با استاندارد 802.11b امواج را تا مسافت نود متر ارسال می‌کند. این میزان با استفاده از آنتن‌های حساس‌تر قابل افزایش است. با اتصال یک آنتن external پرقدرت به WAP خود، خواهید توانست برد شبکه خود را گسترش دهید، اما این‌کار می‌تواند دسترسی افراد خارج از ساختمان را نیز به داخل شبکه امکان‌پذیر سازد.

یک آنتن جهت‌دار به‌جای انتشار امواج در میدانی دایره‌ای شکل آنان را تنها در یک راستا منتشر می‌سازد. به‌این ترتیب، شما می‌توانید با انتخاب یک آنتن مناسب، هم برد و هم جهت ارسال امواج را کنترل کرده و در نهایت از شبکه خود در برابر بیگانگان محافظت کنید. علاوه بر این، برخی از WAPها به شما اجازه می‌دهند تا قدرت سیگنال و جهت ارسال آن را از طریق تنظیم‌های دستگاه تغییر دهید.

10 – ارسال امواج روی فرکانس‌های دیگر

یک راه برای پنهان ماندن از دید هکری که بیشتر از فناوری رایج 802.11b/g استفاده می‌کند، این است که تجهیزات 802.11a را به‌کار بگیرید. از آنجا که این استاندارد از فرکانس متفاوتی (5 گیگاهرتز به‌جای  2/4گیگاهرتز استاندارد b/g) استفاده می‌کند، کارت‌های شبکه‌ای که بیشتر برای فناوری‌های شبکه‌ای معمول ساخته شده‌اند نمی‌توانند این امواج را دریافت کنند.

به این تکنیک Security Through Obscurity یا «امنیت در تاریکی» گفته می‌شود، اما این کار زمانی مؤثر است که در کنار دیگر روش‌های امنیتی به‌کار گرفته شود. در نهایت این‌که Security Through Obscurity دقیقاً همان چیزی است که وقتی به دیگران توصیه می‌کنیم نگذارند بیگانگان از اطلاعات خصوصی آن‌ها مانند شماره تأمین اجتماعی یا دیگر اطلاعات فردی مطلع شوند، به آن اشاره می‌کنیم.

یکی از دلایلی که استاندارد 802.11b/g را محبوب‌تر از 802.11a می‌سازد این است که برد فرکانس آن بیشتر از a و تقریباً دو برابر آن است. 802.11a همچنین در عبور از موانع و دیوارها با قدری مشکل رو‌به‌رو است. از نقطه نظر امنیتی، این «نقص» به‌نوعی «مزیت» به‌حساب می‌آید، زیرا به‌کارگیری این استاندارد باعث می‌شود تا نفوذ سیگنال به بیرون کاهش یابد و کار نفوذگران را حتی در صورت استفاده از تجهیزات سازگار با مشکل مواجه کند. 

10 نکته درباره DomainTrust اکتیودایرکتوری

Domain Trust

1 - تعیین Trust متناسب با نیاز
پیش از این‌که یک Domain Trust را اعمال کنید، باید از متناسب بودن نوع آن با وظایفی که قرار است برعهده داشته باشد، اطمینان حاصل کنید. هر Trust باید خصوصیات زیر را داشته باشد:

Type: مشخص‌کننده نوع دامین‌هایی که در ارتباط با trust هستند.
Transitivity: تعیین می‌کند که آیا یک Trust می‌تواند به یک دامین Trust دیگر از طریق دامین سوم دسترسی داشته باشد.
Direction: مشخص‌کننده مسیر دسترسی و Trust (اکانت‌ها و منابع Trust)

Direction	Transitivity	Type
2way	Transitive	Parent and Child
2way	Transitive	Tree-root
1way OR 2-way	Nontransitive	External
1way OR 2-way	Transitive or Nontransitive	Realm
1way OR 2-way	Transitive	Forest
1way OR 2-way	Transitive	Shortcut

2 - با کنسول Active Directory Domains AND Trusts Console آشنا شوید

روابط بین Trustها از طریق کنسول Active Directory Domains AND Trusts Console مدیریت می‌شود. این کنسول به‌شما اجازه خواهد داد تا اعمال اساسی زیر را انجام دهید:

- ارتقای سطح عملیاتی دامین
- ارتقای سطح عملیاتی Forest
- افزودن Suffixهای UPN
- مدیریت Domain Trust
- مدیریت Forest Trust

برای اطلاعات بیشتر درباره جزئیات این ابزار به آدرس زیر مراجعه کنید:

http://techrepublic.com.com/5100-6345_11-5160515.html

3 - آشنایی با ابزار
همانند دیگر اجزای خانواده ویندوز سرور، ابزار خط فرمان می‌تواند برای انجام فرامین تکراری یا جهت اطمینان از سازگاری و هماهنگی در زمان ایجاد Trustها به‌کار آید. برخی از این ابزارها عبارتند از:

- NETDOM: برای برقرار کردن یا شکستن انواع Trustها استفاده می‌شود.
- NETDIAG: خروجی این ابزار وضعیت پایه‌ای را در روابط بین Trustها به‌دست می‌دهد.
- NLTEST: برای آزمایش ارتباطات Trust می‌توان از آن استفاده کرد.

شما همچنین می‌توانید از ویندوز اکسپلورر برای مشاهده عضویت‌ها در منابع مشترک آن‌گونه که در دامین‌های Trust و/ یا Forest تعریف شده، استفاده کنید. کاربران AD همچنین می‌توانند جزئیات عضویت آبجکت‌های اکتیو دایرکتوری‌ای که اعضایی از دامین‌های Trust و/ یا Forest دارند، مشاهده کنند.

4 - ایجاد یک محیط آزمایشی
بسته به محیط و نیازمندی‌های شما، یک اشتباه ساده در ایجاد Trust دامین‌ها می‌تواند به بازتاب‌هایی در سطح کل سازمان منجر شود. با وجود این، فراهم ساختن یک محیط آزمایش مشابه برای Replicate کردن موارد مربوط به چندین دامین و فارست کار دشواری خواهد بود. ایجاد دامین‌هایی برای سناریوهای مشابه کار آسان‌تری بوده که برای استحکام زیرساخت‌ها و آزمایش کارکردهای اساسی می‌توان از آنان استفاده کرد.
 
علاوه بر این، قبل از استفاده از گروه‌های زنده، اکانت‌ها و آبجکت‌های دیگر، به آزمایش الگوی آبجکت‌ها دایرکتوری روی روابط دامین زنده توجه کنید تا مطمئن شوید که میزان دلخواه عاملیت به‌دست آمده، نه بیشتر.

5 - مجوزها را بازبینی کنید

وقتی Trustها ایجاد شدند باید از عملکرد دلخواه آنان اطمینان حاصل شود. اما مطمئن شوید که برای بررسی صحت جهت دسترسی، Trust پیکربندی‌شده دوباره بازبینی شود. به‌عنوان مثال، چنان‌چه دامین A باید فقط به منابع معدودی روی دامین B دسترسی داشته باشد، یک Trust دو طرفه کفایت خواهد کرد.

هرچند ممکن است لازم باشد یکی از مدیران دامین B بتواند به تمام منابع دامین A دسترسی داشته باشد. از صحت جهت و سمت، نوع و Transitivity همه Trustها اطمینان حاصل کنید.

6 – طرح Trustها را تهیه کنید
نقشه‌ای ساده با استفاده از پیکان‌ها و جعبه‌هایی که نمایان‌گر دامین‌های دارای Trust، ارتباط آنان با یکدیگر و این‌که این Trustها یک‌طرفه هستند یا دو طرفه تهیه کنید. با استفاده از تصویر‌(های) ساده مشخص کنید، کدام دامین به کدام دامین دیگر Trust دارد و Transitivity آن‌ها را نمایش دهید.

این جدول ساده موجب درک بهتر وظایف محوله شده و به شما اجازه خواهد داد تا دامین‌های نیازمند به جهت دسترسی (Access Direction) و همچنین جهت صحیح را مشخص ساخته و نمایش دهید. برخی از دامین‌ها فقط نقش یک دروازه ساده را برای دسترسی به دیگر دامین‌ها ایفا می‌کنند.

7 – ارتباطات بین Trustها را مستند کنید

امروزه، سازمان‌ها دائم در حال پیوستن و جدا شدن از یکدیگر هستند. به‌همین دلیل، این نکته اهمیت دارد  که نقشه واضحی از ارتباط بین دامین‌ها و Trustهای بینابین تهیه شده تا همواره از وجود اطلاعات لازم بدون نیاز به مراجعه به کدهای مربوطه اطمینان حاصل شود.

به‌عنوان مثال، اگر شما روی دامین B قرار داشته باشید و دفتر مرکزی شما روی دامین A نمایندگی شما را ابطال و Trust را قطع کند، یک سند کوچک و مختصر که قبلاً روی دامین A ذخیره شده کمک بسیار بزرگی برای شما خواهد بود.

نوع Trust، جهت، ملزومات تجاری مورد نیاز برای آن Trust، مدت اعتبار پیش‌بینی شده برای Trust، مجوز، اطلاعات پایه‌ای دامین و فارست (شامل نام، DNS، آدرس IP، مکان فیزیکی، نام کامپیوترها و...) و اطلاعات تماس فرد یا افراد مسئول دامین‌ها از اطلاعاتی هستند که ذخیره‌سازی آنان در یک محل مطمئن بسیاری از کارها را آسان‌تر خواهد کرد.

8 – از پیچیده کردن ارتباط Trustها پرهیز کنید

برای صرفه‌جویی در وقت و زمان، از جلو بردن عضویت‌ها در بیش از یک لایه هنگام کار و استفاده از Trust در دامین‌ها و فارست‌های چندگانه پرهیز کنید. با این‌که تودر تو کردن عضویت‌ها می‌تواند به یکپارچگی و کاهش آبجکت‌های قابل مدیریت در AD کمک کند، اما این‌کار موجب افزایش میزان تصمیم‌گیری در مدیریت اعضا خواهد شد.

9 – چگونگی مدیریت نسخه‌های مختلف ویندوز
وقتی AD را روی ویندوز 2000 و ویندوز سرور 2003 اجرا می‌کنید، امکانات کامل برای دامین‌ها و فارست‌های عضو فراهم خواهد بود. چنان‌چه هرگونه سیستم عضو یا دامین NT در سازمان حضور داشته باشند، امکانات ورودی Trust آن‌ها به‌دلیل ناتوانی در شناسایی آبجکت‌های AD محدود خواهد شد. راه‌حل عمومی این سناریو ایجاد «دامین‌های جزیره‌ای» برای آن دسته از افرادی است که معمولاً به ساختارهای عمومی سازمان متصل نمی‌شوند.

10 – Trustهای منقضی و Overlap شده را پاک کنید

تغییرات ایجاد شده در روابط مابین سازمان‌های تجاری ممکن است موجب برجای گذاشتن تعدادی از Trustهای بدون استفاده در دامین شما شود. هرگونه تراستی را که به‌عنوان فعال مورد استفاده قرار نمی‌گیرد، از روی دامین بردارید. همچنین از تنظیم صحیح تراست موجود و مطابقت آن‌ها با دسترسی مورد نیاز و الگوی استفاده اطمینان حاصل کنید. بازرسی و رسیدگی به جدول تراست می‌تواند مکمل خوبی برای سیاست‌های استحکام یافته امنیتی شما به‌حساب آید.

10 نکته درباره ابزارهای NETSH

NETSH

1 – NETSH چیست؟
NETSH یکی از قوی‌ترین ابزارهای شناخته‌شده شبکه است که به همراه ویندوز 2000 و ویندوز 2003 سرور ارائه می‌شود. این ابزار به‌عنوان پیش‌فرض به‌همراه سیستم عامل و در پوشه systemroot%\system32 % نصب می‌شود. NETSH در ویندوز XP نیز در دسترس است.

NETSH به شما کمک می‌کند تا نسبت به نمایش، تغییر، ورود و خروج بسیاری از وجوه پارامترهای شبکه در داخل سیستم اقدام کنید. با کمک این ابزار خواهید توانست با استفاده از پارامتر ماشین راه‌دور (-r) به‌صورت راه‌دور به دیگر سیستم‌ها متصل شوید.

2 – محتویات NETSH
محتویات یا Context ابعاد مشخصی از پیکربندی شبکه هستند که می‌توانند با استفاده از NETSH مدیریت شوند. در ادامه با Contextهای ویندوز سرور 2003 آشنا می‌شویم:

Description	Context
Authentication, authorization, accounting, and auditing	aaaa
DHCP server administration	dhcp
OS and network service parameters	diag
NIC configuration; includes subcontexts	interface
Alternative to IP Security Policy Management	ipsec
Network bridging configuration	netshbridge
Remote access server configuration	ras
(Routing administration (instead of RRAS	routing
Subnet and interface settings	rpc
Windows Internet Name Service administration	wins

توجه داشته باشید که هر Context می‌تواند یک Subcontext داشته باشد. به‌عنوان مثال، interface، سه Subcontext دارد: IP، Ipv6 و NETSH.protprox این Subcontextها را به عنوان Context درنظر می‌گیرد.

مانند این  NETSH interface IP :Context توجه کنید که ویندوز اکس‌پی مجموعه Contextهای متفاوتی دارد. هنگام استفاده از عملیات Import و Export در حالت None interactive، باید از پیکربندی Context یا Subcontext مطمئن شوید.

3 – کنترل تغییرات شبکه با استفاده از NETSH

از NETSH می‌توان برای ارسال یا دریافت پیکربندی شبکه‌ استفاده کرد. به‌عنوان مثال، اگر بخواهید سیستمی را از یک شبکه منفک و وارد شبکه جدیدی کنید، کانال‌های ارتباطی نیازمند تنظیم و تطبیق آنان با دیگر سیستم‌ها هستند.

با استفاده از NETSH Export خواهید توانست تنظیمات مختلف را به یکباره انجام دهید. به‌عنوان مثال، به این بخش از NETSH Export که در عملیات dump صورت می‌گیرد، توجه کنید:

set address name = “Teamed NIC” source = static addr = 10.64.32.100 mask = 255.255.252.0 set address name = “Teamed NIC” gateway = 10.25.44.1 gwmetric = 1 set dns name = “Teamed NIC” source = static addr = 10.64.22.50 add dns name = “Teamed NIC” addr = 10.95.61.22 add dns name = “Teamed NIC” addr = 10.95.45.34 set wins name = “Teamed NIC” source = static addr = 10.95.45.70 add wins name = “Teamed NIC” addr = 10.95.45.25

4 – استفاده از NETSH جهت تغییر پویای آدرس‌های TCP/IP
می‌توانید با استفاده از NETSH و توسط Import یک فایل ساده نسبت به تغییر داینامیک آدرس‌های IP از IP استاتیک به DHCP اقدام کنید. NETSH همچنین می‌تواند پیکربندی لایه 3 (آدرس‌های TCP/IP، تنظیمات DNS، تنظیمات WINS ،IP aliase و ...) را به‌دست گیرد.

این ویژگی به‌خصوص هنگامی که در حال کار روی شبکه‌ای هستید که DHCP روی آن وجود نداشته و کامپیوترهای موبایل به چندین شبکه متصل می‌شوند، مفید خواهد بود. میانبرهای NETSH موجب افزایش قابلیت‌های Windows Automatic Public IP Addressing می‌شود.

در زیر مثالی از اجرای یک آپدیت داینامیک را برای یک آدرس IP مشاهده می‌کنید:
 

C:\NETSH –f filename.netsh

در این مثال Filename.netsh به فایلی اشاره می‌کند که حاوی یک رابط بصری پیکربندی dump است. شما می‌توانید در ویندوز میان‌برها را در یک فایلBAT. قرار داده و آن را اجرا کنید. به‌این ترتیب، قادر خواهید بود به‌سادگی میان‌برهایی را برای دریافت یک آدرس DHCP اضافه کرده و به IP استاتیک در سایت یک مشتری، شبکه DMZ یا هر شبکه دیگری با IP استاتیک سوییچ کنید.

5 – یک تمرین خوب: از پسوند NETSH. استفاده کنید

عملیات Import و Eexport در NETSH با فرمت متن ساده صورت می‌گیرد و می‌توان متون آنان را با استفاده از هر ویرایشگر ساده متنی مشاهده کرد. به‌هرحال، فایل‌های NETSH به‌عنوان یک Filetype خاص در نظر گرفته می‌شود، زیرا از آنان برای مستندسازی پیکربندی شبکه و همچنین فرآیند Import و Export  استفاده می‌شود.

به‌عنوان یک تمرین خوب می‌توانید تمام عملیات Export را در یک فایل FILE.NETSH آماده کرده تا هنگام نیاز به Export توسط NETSH مورد استفاده قرار گیرد. این کار از اهمیت ویژه‌ای برخوردار است، زیرا فایل Export حاوی کلمه NETSH در داخل خود نیست. به‌این ترتیب، حتی یک تازه‌کار هم می‌تواند متوجه شود که محتویات این فایل چه چیزی است.

پسوند فایل Export ،dupm) dupm) و f) import-) کاملاً توسط کاربر مدیریت می‌شوند. برای راحتی بیشتر می‌توانید پسوند NETSH. را داخل ویندوز برای کار با ویرایشگر متنی خود تعریف کنید.

6 – NETSH در حالت تعاملی (Interactive Mode)
NETSH یکی از ابزارهای ویندوز است که می‌تواند هم در محیط تعاملی و هم در محیط غیر تعاملی اجرا شود. ابزارهای تعاملی (مانند Nslookup و Dnscmd) این قابلیت را دارند تا سناریوهای متفاوت و مؤثری را بسته به محیط انتخاب شده داشته باشند.

حالت تعاملی خود دارای دو Mode است: آنلاین و آفلاین. مد آنلاین تا زمانی که در وضعیت تعاملی هستید، مستقیم با اجزای شبکه در ارتباط خواهد بود. مد آفلاین نیز به شما اجازه خواهد داد تا به‌عنوان فعال تغییراتی را اعمال کرده و آنان را بلافاصله و به‌صورت آنلاین برگردانید.

7 – NETSH در حالت غیرتعاملی Noninteractine

در مد غیر تعاملی می‌توانید فرامین NETSH را از طریق Import کردن یک فایل اجرا کنید. استفاده از مد غیر تعاملی برای عملیات Import و Export فایل پیشنهاد می‌شود با  فایل NETSH در مد غیر تعاملی می‌توانید تنظیمات کلیدی را از هر Export ،Contex کنید.

به‌علاوه، اگر با مشکلی مواجه شوید می‌توانید اسکریپت NETSH را دوباره در حالت غیر تعاملی دریافت کرده و شبکه را به وضعیت قبل برگردانید. توجه داشته باشید که NETSH نمی‌تواند از اطلاعات موجود در Contextها (مانند پایگاه داده WINS) پشتیبان تهیه کند.

8 – اسکریپت‌ها را واضح تهیه کنید

هنگام رد و بدل کردن اسکریپت‌های NETSH شما می‌توانید برای درخواست بازخورد از کامنت استفاده کنید. این‌کار به‌شما اجازه خواهد داد تا هر ورودی را توضیح داده یا از آن به‌عنوان یک ابزار آموزشی برای دیگران استفاده کنید. کافی است عبارت REM را در فایل Export شده NETSH قرار داده و عباراتی را به آن بیافزایید. از کامنت‌های زیادی استفاده نکنید، هر آنچه ضروری است، ذکر کنید.

9 – ضروریات NETSH
NETSH ابزار قدرتمندی است که باید با احتیاط از آن استفاده کرد. استفاده در حالت تعاملی و در مد آنلاین (مد پیش‌فرض) برای اعمال تغییرات روزانه می‌تواند ریسک بیشتری نسبت به انجام تغییرات در حالت تعاملی و در مد آفلاین و سپس ورود به مد آنلاین و اعمال تغییرات به‌همراه داشته باشد.

در هر صورت استفاده از حالت Noninteractive برای اعمال تغییرات روش معمول‌تری بوده، زیرا در این حالت می‌توان تغییرات را مشاهده و ثبت کرد. بهتر است برای کسب مهارت بیشتر NETSH را روی یک ماشین مجازی یا روی یک «سیستم آزمایش» امتحان کنید.

10 – نقاط منفی NETSH
امکان دارد در ابتدا وسعت ویژگی‌های NETSH استفاده از آن را دشوار کند. بهتر است به امکانات در دسترس NETSH  نگاهی بیاندازید و استفاده از اینترفیس آن را در حالت تعاملی (interactive) تمرین کنید (این کار برای کاربرانی که به ابزارهای غیرتعاملی عادت کرده‌ایم کمی دشوار است).

دسترسی به NETSH در حالت تعاملی بسیار ساده است: کافی‌است دستور NETSH را در خط فرمان تایپ کنید و سپس از راهنمای زیر برای بررسی امکانات این دستور استفاده کنید: برای تغییر به Context دیگر نام Context را تایپ کنید.

به‌عنوان مثال، فرمان Interface ip بی‌درنگ شما را از هر Contextای که در آن هستید، به‌طور مستقیم به کانتکست Interface ip خواهد برد. برای تغییر مد، دستور online یا offline را تایپ کنید. دستور آفلاین موجب آفلاین شدن نشست (Session) تعاملی فعلی خواهد شد.

به‌همین دلیل، هیچ تغییری بی‌درنگ اعمال نخواهد شد. دستور online موجب آنلاین شدن نشست فعلی خواهد شد. به‌این ترتیب کلیه تغییرات بی‌درنگ روی تمام عناصر شبکه‌ای اعمال خواهند شد. با تایپ کردن دستور Show Mode می‌توانید مد فعلی را مشاهده کنید.

مد پیش‌فرض online است. به‌همین دلیل، اگر در حال آزمایش کردن چیزی هستید، بی‌درنگ به حالت آفلاین بروید.  با تایپ کاراکتر؟ یا دستور Help کلیه دستورات قابل دسترس در مکان Context فعلی به‌نمایش درخواهند آمد. اگر روی روت ابزار قرار دارید، هیچ کانتکست فعالی وجود نداشته و رابط‌بصری شما در این ابزار پرامپت
دستورات جهانی یا Global Commands مانند آنلاین و Quit دستوراتی هستند که می‌توانید در هر موقعیتی از آن‌ها استفاده کنید. دستورات Context تنها زمانی قابل دسترس هستند که در کانتکست جاری از آنان استفاده شود. ب

به‌عنوان مثال، از کانتکست  

1 – NTFS و مجوزهای اشتراکی

مهم‌ترین نکته گیج‌کننده درخصوص به‌اشتراک‌گذاری در سیستم‌های  تحت ویندوز این است که NTFS و مجوزهای سطح اشتراک، هر دو روی توانایی کاربر در دسترسی به منابع موجود روی شبکه تأثیر خواهند گذاشت. همواره به‌یاد داشته باشید که در ویندوز اکس‌پی و ویندوز 2003 سرور (و به‌خصوص نسخه‌های بعدی  این سیستم‌عامل) مجوزهای اشتراکی به‌عنوان پیش‌فرض روی Read-Only تنظیم شده‌اند.

این مطلب موجب خواهد شد تا مجوزهای NTFS در زمان دسترسی به آنان از طریق شبکه به حالت Read محدود می‌شوند.

بهترین راه برای تشخیص مجوزهای اشتراکی از مجوزهای NTFS در نظر گرفتن این نکته است که مجوزهای اشتراکی به‌عنوان دروازه ورودی منابع به‌حساب می‌آیند. فقط پس از به‌اشتراک‌گذاری مجوزها و بعد از Change و/ یا Full Control است که مجوزهای NTFS می‌توانند مورد استفاده قرار گیرند.

ترکیب مجوزهای سطح اشتراکی و مجوزهای NTFS می‌تواند به‌عنوان ظرفیت بالاسری مدیر شبکه فرض شود، اما به‌خاطر داشته باشید: مجوزهای اشتراکی نقش دروازه ورود و دسترسی به منابع شبکه‌ای را ایفا می‌کنند. وقتی از طریق یک مجوز اشتراکی وارد یکی از منابع شبکه‌ای می‌شوید، این مجوز به‌شما دیکته می‌کند که با توجه به شرایط اشتراک چه اختیاراتی دارید.

مجوزهای NTFS مشخص می‌سازند که چه کارهایی را می‌توانید با فایل‌ها و فولدرها انجام دهید. در حالت Troubleshooting مشخص کنید که آیا سطح اشتراکی می‌تواند در آنجا نقش ایجاد کند یا خیر.

2 – از اشتراک‌های تو در تو (Nested) دوری کنید

مشکلاتی که با هر دو مجوز NTFS و مجوزهای اشتراکی درگیر هستند می‌توانند موقعیت را بسیار سخت و دشوار کنند. در ساختار فایل‌های خود از اشتراک‌های تودرتو پرهیز کنید، زیرا این وضعیت می‌تواند در صورت دسترسی به منابع از طریق مجوزهای مختلف موجب بروز اختلال و رفتارهای ناسازگارانه در قبال منابع شبکه‌ای یکسان شود.

این‌کار به‌منزله به‌دنبال دردسر گشتن است. به‌خصوص زمانی که مجوزهای اشتراکی متفاوت باشند. اشتراک تودرتو یا Nested Share به پوشه به اشتراک‌گذاشته‌ای اطلاق می‌شود که خود در داخل یک پوشه دیگر که خود به اشتراک گذاشته شده قرار داشته باشد.

البته، موجودیت‌های مشترک و پنهان زیادی وجود دارند (از قبلی$لD$،C و مانند آن‌ها) که در سطوح پایین‌تر از خود فایل‌ها و پوشه‌های پنهان تودرتوی دیگری را به‌همراه دارند که همگی نیز به‌عنوان پیش‌فرض به این وضعیت هستند. در هر حال اگر کاربران از دو اشتراک غیر پنهان تودرتو استفاده کنند، این احتمال وجود دارد تا مجوزهای اشتراک دچار Conflict و ناسازگاری شوند.

3 - از CACLS و XCACLS استفاده کنید

شما می‌توانید از CACLS و XCACLS به‌همراه یکدیگر برای جمع‌آوری اطلاعات فایل‌هایی که منعکس‌کننده مجوزهای پیکربندی شده NTFS هستند، استفاده کنید. این ابزارها اطلاعات مربوط به مجوزهای فایل‌ها و پوشه‌های خاص و روی منبع خاص را در اختیار مدیر شبکه قرار خواهند داد.

تفاوت بین مجوزهای NTFS و ACL (سرنام Access Control List) چیست؟ مجوزهای NTFS از داخل ویندوز اکسپلورر یا از طریق یک مکانیزم خودکار برای فایل‌ها و پوشه‌ها تعریف می‌شوند. این درحالی است که ACL عبارت است از نمایش و مدیریت عملیاتی که می‌توان یا نمی‌توان روی فایل‌های همان منبع انجام داد.

شما می‌توانید از CACLS و XCACLS برای افزودن یا برداشتن مجوزهای NTFS آن‌هم در محیط اسکریپت استفاده کنید. به‌همین دلیل، اگر حجم مجوزهایی که با آن‌ها سر و کار دارید زیاد هستند، می‌توانید با استفاده از یک اسکریپت بلندبالا آنان را مدیریت کنید.

به‌عنوان یک تمرین خوب برای فایل‌ها و فولدرهای مهم که به‌اشتراک گذاشته شده و دارای یک مجوز منحصر‌به‌فرد NTFS هستند، می‌توانید با استفاده از ابزار CALCS.EXE به ایجاد یک اسکریپت تسهیل‌کننده اقدام کرده و ACL  فایل‌ها و فولدرهای مجزا را ثبت کنید (یا به صورت دستی مراحل را برای انجام این کار طی کنید).

توجه داشته باشید که می‌توانید به آسانی و با اجرای CALCS * /T از داخل خط فرمان اقدام به ایجاد سندی حاوی مجوزهای NTFS کنید که شامل اطلاعات مجوزهای فولدر، محتویات آن و زیرپوشه‌ها باشد. چنین کاری روی منبع مقصد صورت خواهد گرفت و می‌تواند  هنگام کار روی فولدرهای تودرتو و دارای مسیر طولانی، صددرصد توان پردازنده را به‌خود اختصاص دهد.

البته، به فاکتورهای زیادی بستگی دارد،  اما انجام یک بازبینی برای ایجادACL می‌تواند زمان بسیار طولانی را صرف کند. این شبیه حالتی است که می‌خواهید مجوزهای جدید NTFS  را روی فولدرهای بزرگ اعمال کنید.

4 - مقایسه بین مجوزهای ساده و مجوزهای ویژه NTFS

مجوزهای ویژه که فقط یک راست‌کلیک با آن فاصله دارید، امکانات بسیار بیشتری را در خصوص نیازمندی‌های یک دسترسی خاص در اختیار مدیرسیستم خواهند گذاشت. قابل توجه است اگر بدانید استفاده از مجوزهای ویژه با پیچیده‌تر کردن فرآیند مجوزدهی، موجب افزایش وظایف مدیریتی مرتبط با مجوزهای NTFS خواهد شد.

به همین دلیل، بهترین حالت استفاده از مجوزها در زمانی است که واقعاً به آن‌ها نیاز باشد. مجوزهای استاندارد NTFS اغلب ویژگی‌های موردنیاز را برای یک دسترسی ایمن به منابع به‌اشتراک‌گذاشته شده و منابع محلی در اختیار دارند.

نکته: مطمئن شوید که در زمان بروز مشکل، مجوزهای خاص برداشته شده باشند. تمام مدیران شبکه حداقل یک‌بار مشکلاتی را با مواردی مانند مجوزهای مشترک، مجوزهای NTFS، عضویت‌های گروهی، اکانت‌های کاربری مشترک و... تجربه کرده‌اند. در بسیاری از موارد یک نگاه به مجوزهای ویژه می‌تواند مشکل را به‌سرعت شناسایی و برطرف کند.

5 - مجوزهای ویژه را جداگانه و روی منابع مختلف نگه‌دارید

اگر بتوانید این سناریو را اجرا کنید، تمرین خوبی خواهد بود تا بتوانید مجوزهای مورد نیاز منابع مختلف را به‌صورت گروه‌های جداگانه یا فولدرهایی با مجوزهای مشابه با دیگر فولدرهای واقع در منابع دیگر تعریف و دسته‌بندی کنید. اختلاط مجوزهای استاندارد با مجوزهای ویژه در یک مکان مشترک می‌تواند وظایف مدیریتی را سنگین‌تر کند.

6 - درک مجوزهای موروثی

مجوزهای موروثی یا Inherited permissions  یکی ازصفات پیش‌فرضی مجوزهای NTFS روی ویندوز 2003 و 2000 سرور است. این مجوزها به مدیر شبکه اجازه می‌دهند تا تنظیمات NTFS یک فولدر را به محتویات آن و تمام اشیاء و فولدرهای درون آن منتقل کنند.

توارث، هنگامی که از تنظیمات پیش‌فرض استفاده می‌کنیم درک آسانی دارد. اما زمانی که block می‌شود، عیب‌یابی آن کار دشواری خواهد بود. چنین دشواری‌ای زمانی که یک فولدر در داخل فولدر دیگری قرارمی‌گیرد، مشخص‌تر خواهد شد. در عیب‌یابی صفات موروثی بهتر است ابتدا کار را از روت مشکل آغاز کرده و در راستای ساختار شاخه به‌سمت بالا حرکت کنیم.

7 - هنگام پاک کردن صفات موروثی مراقب باشید

وقتی صفات موروثی مجوزهای NTFS را از درون یک Parent Container پاک می‌کنید، با دو گزینه رو‌به‌رو هستید: Copy و Remove. گزینه Copy باعث Recurse شدن آبجکت Child و نوشتن مجوزهای NTFS  از فولدر parent خواهد شد.

گزینه Remove تمام مجوزهای پیش‌فرض Administratorها، کاربران، Creative Owner ،System و... را که توسط NTFS ایجاد شده‌اند، از داخل فهرست Group یا User Name برمی‌دارد. هنگام آزمایش دستور Remove مراقب بلوکه شدن خصیصه‌های موروثی باشید.

8 - از نتیجه طفره نروید!

بدترین کاری که در زمان حل مشکلات مرتبط با مجوزها می‌توانید انجام دهید، این‌است که برای رفع مشکل، فردی را به عضویت گروه Admin یا دیگر گروه‌های دارای اختیارات قدرتمند درآورید. مشکل با افزودن مجوزهای بیشتر به کاربران حل نمی‌شود. همیشه مشکل را شناسایی کرده و با توجه به شرایط بهترین راه‌حل را انتخاب کنید.

9 – هیچ‌گاه بیش از اندازه مجوز ندهید

یکی از اشتباه‌های رایج، اعطای مجوزهای بیش ازاندازه (معمولاً از طریق عضویت در گروه‌ها) به کاربران برای دسترسی به منابع است. به‌خصوص اگر از Active Directory استفاده می‌کنید، ایجاد ساختاری سازمان‌یافته با عضویت‌ها و تعریف صحیح نیازهای دسترسی برای کاربران یا گروه‌های مدیریتی بهترین کاری است که می‌توانید انجام دهید. تنظیمات فایروال را به گونه‌ای انجام دهید که مطابق با نیازهای کاربران باشد.

اعطای مجوزهای بیش از اندازه در ظاهر مشکلی را ایجاد نخواهد کرد، اما این امکان وجود دارد تا به‌عنوان تصادفی به یک گروه یا دیگر خصیصه‌های عضویت مجوزهای زیادی داده شود.

عضویت در گروه‌ها آسان‌ترین راه برای ایجاد دسترسی زیاد یا اندک به منابع خواهد بود. به‌ویژه در پیکربندی دامین‌ها، پیچیدگی توسط عضویت‌های چندگانه و/یا گروه‌های تودرتو افزایش خواهد یافت. از ابزار Effective Permissions برای مشاهده مجموعه نتایج و در زمان به‌کارگیری AD از عضویت در گروه‌ها استفاده کنید.

هرچند از این طریق نمی‌توان به‌طور مستقیم مجوزهای NTFS را نمایش داد، اما می‌توانید دریابید که عضویت در هر گروه برای هر آبجکت چگونه می‌تواند به رفع مشکل منجر شود.

10 - نحوه استفاده صحیح از Copy و Move

دستورات استاندارد Copy و Move نتایج مشخصی را به‌همراه دارند که می‌توان از آنان برای بررسی پیکربندی مجوزها (یا شکستن آن‌ها) استفاده کرد. یک راه خوب برای به‌خاطر سپردن این مطلب این است که در نظر داشته‌باشیم، عملیات Copy موجب ایجاد مجوزهایی برمبنای Container مقصد شده و Move از Parent Container محافظت می‌کند.

مکانیزم به‌یادسپاری: CC/MM – CopyCreate/MoveMaintain یا این‌که CopyCreate/MoveMake. البته، یک نکته نیز وجود دارد و آن نیاز به کپی‌کردن منابع و نگهداری از مجوزهای NTFS است که ایجاد دوباره آن‌ها قدری مشکل است.

ابزار حذف شده SCOPY همان امکانات دستور XCOPY را با پارامترهای O/ و X/ در اختیار قرار می‌دهد. استفاده از این فرمان به‌همراه پارامترهای مربوطه به عملیات COPY اجازه می‌دهد فایل‌ها یا فولدرها را در مکان جدید کپی‌کرده و مجوزهای NTFS آنان را معادل با مجوزهای Source Container تعریف کنند. 

10 نکته درباره SQL Server 2005

SQL Server2005

1 – حالا دیگر نوعی داده از جنس XML وجود دارد

اگر بخواهیم درباره مهم‌ترین ویژگی SQL Server 2005 صحبت کنیم باید به XML  اشاره کرد. دلیل این اهمیت در آنجا نهفته است که با توجه به گرایش‌های اخیر به‌سمت برنامه‌های وب، این نوع جدید داده به ما امکان خواهد داد تا نسبت به طراحی ویژگی‌هایی برخلاف عرف رایج مایکروسافت، که عموماً مایل است خود برای ما طراحی کند، اقدام کنیم.

پسوند داده XML دارای ویژگی‌های زیر است:
- می‌توان از آن در ستون جدول‌ها استفاده کرد.
- می‌تواند در فرآیند ذخیره و به‌عنوان یک پارامتر قابل‌تغییر مورد استفاده قرار گیرد.
- اطلاعات تایپ نشده را می‌تواند نگهداری کند.
- قادر به بررسی داده‌های ذخیره شده در ستون‌ها و از نوع XML و مقایسه آنان با الگوی پیشین است.
- نگاشت بین داده‌های XML و داده‌های Relational  نیز دوسویه است.

2 – جایگزینی DMO (سرنام Distributed Management Objects) با SMO (سرنام SQL Server Management Object)

SMO (سرنام SQL Server Management Object) یک چارچوب مدیریتی بر مبنای NET Framework. بوده که به‌شما اجازه می‌دهد نسبت به ایجاد ابزارهای کاربردی شخصی برای مدیریت سرور خود اقدام کنید. SMO (مانند DMO) شما را قادر خواهد ساخت تا با ستون‌ها، جدول‌ها، پایگاه داده و سرورها به‌عنوان یک آبجکت قابل برنامه‌ریزی کار کنید و از برخی امکانات جدید SQL Server 2005 مانند Service Broker پشتیبانی می‌کند.

SMOها به‌گونه‌ای بهینه‌سازی شده‌اند که تا زمانی که یک آبجکت به‌عنوان کامل معرفی نشده و مورد استناد قرار نگرفته، از آنان استفاده نمی‌کند. شما همچنین می‌توانید فرامین SQL را به‌صورت Batch اجرا کرده و از اسکریپت‌ها برای ایجاد آبجکت‌ها استفاده کنید. نرم‌افزار مدیریت سرور شخصی شما می‌تواند برای مدیریت SQL Server 7 و در داخل سیستم SQL Server 2000 به‌کار گرفته شود.

3 –CTEها؛ جست‌وجوهای بازگشتی

یک CTE (سرنام Common Table Expression) پرس‌وجو‌ها را بازگشت‌پذیر می‌کند. CTE می‌تواند خود ارجاع بوده و برای نفوذ آن، حد بالایی تعریف شود. شما می‌توانید از CTE به‌عنوان بخشی از یک WITH در مجموعه فرامین SELECT ،UPDATE ،INSERT یا DELETE استفاده کنید.

4 – ترافیک غیرهمزمان در SQL Server با The Service Broker

یک سیستم نهایی برای جست‌وجو و صف‌بندی وجود دارد که همه چیز را تحت تأثیر خود قرار خواهد داد. شما اینک می‌توانید ترافیک SQL Server را با استفاده از رندر غیرهمزمان (Asynchronous) و توسط سرویس جدید Service Broker مدیریت کنید.

این سرویس موجب افزایش قابلیت مقیاس‌پذیری از طریق افزایش ظرفیت پذیرش ترافیک از سوی سیستم به‌صورت منطقی و فیزیکی می‌شود. از طریق فرامین می‌توان به SQL دسترسی پیدا کرد.

این ویژگی با افزودن قابلیت کار نامتقارن به‌همراه پیکربندی ساده در لایه داده، به‌عنوان موهبتی برای برنامه‌نویسان محسوب شده و امکانات زیادی را پیش روی آنان خواهد گشود. Service Broker به تنهایی می‌تواند دلیل کافی برای ارتقا به SQL Server 2005 باشد.

5 – Triggerهای NET. ایجاد کنید

SQL Server 2005 با فناوری NET. یکپارچه شده است. یکی از مفیدترین دستاوردهای این یکپارچگی قابلیت ایجاد Triggerهای کاربرپسند از طریق Visual Studio 2005 است.

ویژگی Trriger را می‌توانید از درون فهرست الگوهای Visual Studio یافته و با استفاده از آن فایلی را برای Trigger شدن یک کد ایجاد کنید. مکانیزم اتصال این کد به SQL از طریق SqlPipe است.

6 – پیکربندی SQL Server 2005 داینامیک است

اگر شما SQL Server 2005 را روی ویندوز سرور 2003 اجرا می‌کنید باید بدانید که پیکربندی آن کاملاً داینامیک و پویا است. شما می‌توانید مقادیر پارامترها را به‌صورت آنی و بدون نیاز به راه‌اندازی دوباره سیستم تغییر داده و پاسخ را بی‌درنگ دریافت دارید.
7 – نوع داده خود را مشخص کنید

سفارشی کردن انواع داده از طریق یکپارچه‌سازی SQL Server 2005 باNET CLR.  امکان‌پذیر بوده و نوعی ادغام در شیوه‌های پیشین محسوب می‌شود. به‌این ترتیب، خواهید توانست نسبت به ایجاد برنامه‌های کاربردی (یا محیط) با ویژگی‌های خاص و مورد نظر  اقدام کنید. شما می‌توانید انواع فایل‌های جدیدی را به File Typeهای عمومی اضافه کنید تا به‌این ترتیب این فایل‌ها مقادیر تعریف شده از جانب شما را دریافت دارند.

8 – اطلاعات بیشتر، در یک‌بار اتصال

این یک ویژگی جدید دیگر است که نه برای یادآوری، بلکه برای توجه و به‌هیجان آمدن مدیران شبکه ذکر می‌شود. MARS (سرنام  Multiple Active Result Sets) شما را قادر خواهد ساخت تا چندین query را به‌همراه نتایج چندگانه آنان تنها با یک‌بار اتصال دریافت دارید. ابزاری که می‌تواند بارها و مطابق با نیاز کاربر میان مجموعه‌ نتایج باز جابه‌جا شود. کارایی و مزایای مقیاس‌پذیری این ویژگی کاملاً بارز و مشهود هستند.

این ترفند جدید از سوی ADO.NET و در کنار قابلیت SQL Server 2005 برای تطبیق فرامین چندگانه در اختیار ما گذاشته شده است. از آنجا که MARS بخشی از SQL Server 2005 و همچنین بخشی از ADO.NET است، بنابراین فقط درصورت استفاده همزمان از هر دو در دسترس خواهد بود.
9 – WAITFOR…RECEIVE

در نسخه‌های پیشین SQL، فرمان WAITFOR یک فرمان استاتیک بود. برای این دستور مقدار عددی تعریف می‌شد تا مطابق با آن زمان Wait-Time مشخص شود. این تمام کاری بود که این دستور می‌توانست انجام دهد. اینک WAITFOR داینامیک شده و می‌توان به آن گفت که تا زمان حصول نتایج RECEIVE منتظر بماند. 

علاوه بر تعریف‌های رایج، می‌توان از این فرمان به‌خاطر تطبیق با سرویس جدید Service Broker قدردانی کرد. همچنان که Service Briker جست‌وجوهای پایگاه داده را به‌صورت غیر همزمان و از طریق صف‌بندی (که کاملاً داینامیک است) انجام می‌دهد، یک query ممکن است برای مدت نامعلومی در نوبت و منتظر وصول پاسخ قرار گیرد. فرمان جدید و پویای WAITFOR تا زمان حصول نتایج RECEIVE که آن‌هم از سوی Service Briker و به صلاح‌دید آن انجام خواهد گرفت، منتظر خواهد ماند.
10 – DTS سرویس‌ها را یکپارچه می‌سازد

معماری جدیدی در زیر فرآیند تبدیل اطلاعات (Data Trtansformation) آرمیده است. DTS محبوب و پرکاربرد اینک وظیفه یکپارچه‌سازی سرویس‌ها را بر عهده داشته و شامل یک Data Transformation Pipeline و یک Data Transformation Runtime است.

Pipeline با اتصال «منبع اطلاعات» به «مقصد اطلاعات» با هدف تبدیل داده‌ها، نقش واسط را در میان آن‌ها ایفا می‌کند. این یک ساختار قراردادی است که به‌این ترتیب و برای پیچیده شدن پیاده‌سازی می‌شود. به‌عنوان مثال، شما می‌توانید Mapping یک به چند را انجام داده و ستون‌ها را با نتایج اخذشده از یک تغییر ایجاد کنید.
 
Data Transformation Runtime اجزایی را برای مرتب کردن اطلاعات بارگذاری شده و فرآیند تبدیل آنان به عملیات تولیدمحور در اختیار شما قرار خواهد داد تا بتوانید ارتباطات را مدیریت کرده و متغیرها را دستکاری کنید. این ابزار در اصل یک چارچوب کاری برای آبجکت‌های Run-Time بوده که قابل مدیریت توسط ابزارهای NET. هستند.

اجزای DTP و DTR برای ایجاد بسته‌های Integration Services استفاده شده و از لحاظ ساختاری مشابه بسته DTS هستند، اما با سطوح بالاتری از قابلیت پیکربندی و کنترل؛ به‌خصوص در ناحیه workflow. 

10 نکته درباره Microsoft Share Point Services

Microsoft Share Point Services

1 - SharePoint و توسعه Exchange Server

اگر شما به‌عنوان‌یک مدیر شبکه از Exchange Server برای اداره‌کردن ترافیک ایمیل استفاده می‌کنید، SharePoint قادر است عملیات توزیع را تا اندازه زیادی تسهیل کند. شما می‌توانید یک سایت SharePoint را به‌عنوان نقطه‌ای منفرد برای دریافت ترافیک Exchange ایجاد کرده و در آن واحد به‌صورت عملی و ضمن داشتن کلیه فاکتورهای امنیتی و امکانات Membership، اقدام به توزیع ترافیک برای یک گروه یا چند گروه خاص کنید.

با تعیین یک پوشه عمومی برای SharePoint و اختصاص آن از درون Exchange، وظیفه Exchange به‌انجام رسیده و SharePoint از داخل آن پوشه وظایف خود را به انجام خواهد رساند.

2 - مقیاس‌پذیری راه‌حل‌های مبتنی بر SharePoint

مایکروسافت این مطلب را به‌خوبی جا انداخته که SharePoint Services اصولاً یک جعبه ابزار حاوی راه‌حل‌های مشارکتی است. ایجاد سایت‌هایی برای تعاملات گروهی، به‌اشتراک‌گذاری و مدیریت اسناد و فایل‌های مرتبط با پروژه‌ها، انجام آزمایش و دیگر عملکردهای مشارکتی از وظایف طبیعی SharePoint هستند.

یکی از وجوه کمتر شناخته شده SharePoint این‌است که این ابزار قابلیت‌های بسیار بالایی از لحاظ همکاری با دیگر ابزارها داشته و مقیاس‌پذیری آن بسیار بالا است. آنچه به‌عنوان کتابخانه منبع توسط یک گروه به اشتراک گذاشته می‌شود، می‌تواند با هدف تطبیق با کل سازمان یا جامعه وسیع‌تری از کاربران تحت نظر قرار گرفته شود. SharePoint Services به‌سهولت روی سرورهای چندگانه استقرار یافته و امکان ذخیره‌سازی حجم عظیمی از اطلاعات را فراهم می‌سازد.

3 – سایت‌های SharePoint کاملاً قابل سفارشی‌سازی هستند

SharePoint Services کاملاً با FromtPage 2003 یکپارچه شده است، بنابراین کلیه ابزارهای WYSIWYG متعلق به FrontPage قابل استفاده در سایت‌های SharePoint هستند (اگر سازمان شما از لحاظ فنی در سطوح بالایی قرار دارد، تمام این ابزارها از طریق ASP.NET قابل دسترسی هستند).

شما می‌توانید با استفاده از FrontPage به‌کارگیری ابزار Web Parts را آسان کنید. این ابزار به‌شما این امکان را خواهد بخشید تا قطعات ماجولار کدها را دوباره در سایت‌های SharePoint به‌کار گیرید. به‌این ترتیب، داده‌های live را از منابع متعددی دریافت دارید.

همچنین قادر خواهید بود تا به کاربران اجازه دهید این ماجول‌های کد را از طریق جای دادن بخش‌هایی از Web Parts در داخل سایت خود کنترل کرده و در نتیجه کنترل‌های پیچیده‌ای را با روش drag-and-drop در اختیار داشته باشند. مدیران شبکه می‌توانند کنترل کاملی را از طریق XSLT که مستقیم یا از طریق FrontPage در اختیارشان قرار می‌گیرد، در اختیار داشته و در صورت لزوم Conditional Formatting را به‌کار ببرند.

4 – SharePoint و توسعه امکانات InfoPath

InfoPath 2003، یک ابزار دسکتاپ متعلق به مایکروسافت است که وظیفه آن مدیریت جامع فرم‌ها و انتقال داده‌ها است. این نرم‌افزار فناوری قدرتمندی داخل خود دارد و آنچنان که باید مورد استفاده قرار نمی‌گیرد. این فناوری امکانی را برای مدیران شبکه فراهم می‌سازد تا برخی از امکانات این ابزار مانند  قابلیت‌های XML  و فرم‌های کاربرپسند آن را با SharePoint درهم‌آمیزند.

شما این ویژگی را به‌خصوص در زمان انتشار مستقیم فرم‌های InfoPath  به کتابخانه SharePoint بسیار مفید و کارآمد خواهید یافت. در این کتابخانه، فرم‌ها قابلیت ذخیره‌سازی داشته و از همه مهم‌تر می‌توان آن‌ها را به‌اشتراک گذاشت. به‌این ترتیب و از طریق دسترسی گروه کاری به این فرم‌ها SharePoint می‌تواند نقش یک ابزار مشارکتی را ایفا کند.

در زمان استفاده از این قابلیت فرم اصلی در Header کتابخانه ذخیره شده و مجموعه نتایج به‌صورت XML ایجاد می‌شوند. همچنین با استفاده از SharePoint Portal می‌توانید سرویس‌های SharePoint Portal Web را برای کمک به ابزار فرم‌ساز InfoPath و استفاده از آن در دسکتاپ اشتراکی به‌کار گیرید. از این طریق می‌توان دسترسی به این اطلاعات را در دیگر سیستم‌ها و داخل سازمان فراهم کرده و استفاده از آنان را وسعت بخشید.

5 – استفاده از Meta Data برای ایجاد داینامیک سیستم‌های ذخیره‌ساز ترکیبی

فرا داده یا Metadata یک مفهوم حیاتی و حساس در SharePoint Services بوده که به روش‌های مختلف قابل استفاده است. با استفاده از Metadata می‌توانید به‌عنوان مؤثر اقدام به ایجاد آرگومان‌های جست‌وجو آن‌هم به‌صورت سفارشی کرده و اطلاعات خود را به‌صورت داینامیک ساماندهی کنید. در این‌صورت شما قادر خواهید بود تا از جست‌وجوی مضامین در یک کتابخانه اسناد برای استخراج اطلاعات از کتابخانه دیگری استفاده کنید.

همچنین شما می‌توانید برای مرتب کردن کتابخانه‌های اسناد خود پا را فراتر از فولدرهای سلسله‌مراتبی سنتی گذاشته و با ایجاد جست‌وجوهایی بر مبنای Metadataها از آنان نه‌فقط به‌عنوان کلیدهای سازمانی برای اسناد یک کتابخانه، بلکه در آرگومان‌های جست‌وجو و تعیین مکان اسناد در دیگر کتابخانه‌ها استفاده کنید.

از این راه قادر خواهید بود تا نسبت به ایجاد مخازن قابل جست‌وجوی اسناد با قابلیت‌های مؤثر داینامیک و نه تنها با قابلیت جست‌وجو، بلکه با قابلیت ساماندهی مکرر و بدون نیاز به دستکاری فیزیکی اسناد بهره جویید.

6 – SharePoint به‌عنوان مکانیزم انتقال داده

یکی از قابلیت‌های اصلی SharePoint امکان ایجاد نقاط توزیع مشترک برای داده‌هایی است که در چندین منبع متفاوت قرار دارند و انتقال آنان با استفاده از مدهای متفاوت. البته، نقش انتقال داده در اینجا به پایان نمی‌رسد. بسته به این‌که سایت سازمانی شما حاوی چه اطلاعاتی بوده و این سایت‌ها چه نقشی را در سیستم شما ایفا می‌کنند، می‌توانید عمل انتقال و توزیع حقیقی داده را از یک سرور به سرور دیگر و با استفاده از ابزارهای «انتقال سایت» SharePoint انجام دهید. 

به‌عنوان مثال، اگر یک سایت SharePoint را به‌صورت داخلی و برای ارائه اطلاعات در مراحل مختلف کاری پیاده‌سازی کرده‌اید، محتویات SharePoint پایگاه داده در این سایت می‌تواند در یک فرآیند واقعی با استفاده از این ابزارها(که برنامه‌های Command Line و در نتیجه قابل اسکریپت‌نویسی) مورد تغییر قرار گیرد.

7 – استفاده از Task Pane برای تبدیل کتابخانه‌های Word به سیستم‌های مشارکتی دارای مدیریت توکار

کاربرد اصلی SharePoint Services عمدتاً در مدیریت اسناد است. اما ذخیره‌سازی اسناد Word در SharePoint، قرار دادن اسناد در کتابخانه‌ها و بررسی اسناد ورودی و خروجی از دیگر وظایفی هستند که این سرویس در اختیار مدیر سیستم قرار می‌دهد.

با وجود این، امتداد این امکانات و ورود آن به فضای کاری اشتراکی عاملی است که قدرت حقیقی  این ویژگی‌ها را به‌نمایش خواهد گذاشت. برای این‌کار می‌توانید از Task Pane که اسناد را به کتابخانه‌‎ها متصل می‌سازد استفاده کرده و از برخی گزینه‌های دیگر که در داخل آن وجود دارد برای مدیریت آسان‌تر اسناد، به‌ویژه در به‌اشتراک‌گذاری آنان در فضای کاری مشترک بهره برد. با استفاده از Task Pane می‌توان امکانات زیر را در اختیار داشت:

- پیگیری وضعیت و مقایسه نسخه‌های اسناد
- تعیین اشخاص دارای مجوز برای دسترسی به سایت و اسناد
- نظارت بر وظایف
- ایجاد اخطارها
 البته، شما می‌توانید نه تنها Word، بلکه کلیه اسناد بسته کاربردی آفیس را در SharePoint به‌کار گیرید.

8 - توانایی Sharepoint در استخراج داده از پایگاه داده خارجی و دیگر منابع داده

معماری Web Parts و Web Part (قابل دسترس برای SharePoint از طریق FrontPage 2003 و ASP.NET) این قابلیت را دارد تا به‌عنوان یکی از اجزای قدرتمند سایت‌های SharePoint وارد میدان شوند. به‌خصوص Data View Web Parts شما را قادر خواهد ساخت تا viewهای مختلفی را از منابع اطلاعاتی مختلف به سایت بیافزایید.

شما می‌توانید viewهای خاصی را مخصوص سایت‌های SharePoint خود ایجاد کرده و آنان را به یکدیگرمرتبط کنید. منابع اطلاعاتی می‌توانند پایگاه داده، سرویس‌های وب محور یا هر منبع XML دیگری (مانند اسناد InfoPath و ...) باشند.

 9- نقش Excel در تسهیل مدیریت اسناد

صدور (Export) اسناد به نرم‌افزار اکسل به‌خوبی از سوی SharePoint پشتیبانی شده و ایجاد نمودارها و به‌کارگیری امکانات چاپ (از طریق فرمان Print در اکسل و همچنین Chart در بخش Options این نرم‌افزار) از مواردی هستند که این کار را امکان‌پذیر خواهد ساخت.

البته، می‌توان Export داده‌ها به اکسل را تنها با هدف افزودن مدیریت‌پذیری انجام داد. ویژگی Excel Export موجب ایجاد یک Excel Web query و اتصال آن به داده اصلی خواهد شد. به‌این ترتیب، شما می‌توانید صفحات گسترده‌ای را که قابلیت ورود اطلاعات دارند، ایجاد کرده و سپس اطلاعات را به SharePoint منتقل کنید.

این‌کار می‌تواند از طریق ایجاد صفحات گسترده اکسل و ارتباط صفحات گسترده با SharePoint (با استفاده از فرامین Export و Link واقع در Datasheet Task Pane) انجام شود. پس از انجام این‌کار داده‌ها می‌توانند وارد صفحات گسترده شده و از طریق گزینه Synchronize List به اکسل منتقل شوند.

10 - توانایی ایجاد نسخه پشتیبان از مجموعه‌ای از سایت‌ها فقط از طریق یک عملیات واحد

توانایی انتقال یک سایت به همراه هر آنچه در آن وجود دارد (شامل سایت اصلی، سایت‌های زیرمجموعه و دیگر محتواها)، قابلیتی است که نباید آن را دست کم گرفت. هر مدیر شبکه‌ای که که حداقل یک بار به انجام این کار اقدام کرده است می‌داند این عملیات تا چه اندازه می‌تواند ناامیدکننده و طاقت‌فرسا باشد. SharePoint Services دو ابزار دارد که به‌شکل مؤثری موجب کاهش زحمت‌ها می‌شوند: STSADM و SMIGRATE.

SMIGRATE در ابتدا زندگی خود را از طریق یک ارتقا آغاز کرد؛ ارتقای ابزاری که وظیفه آن هدایت داده‌ها از نسخه قدیمی SharePoint به سایت جدید بود. اینک این ابزار وظیفه backup/restore را برای انتقال کامل سایت بر عهده دارد. این ابزار، یک ابزار خط فرمان بوده که در زمان استفاده از اسکریپت می‌تواند به‌صورت سفارشی مورد استفاده قرار گیرد.

این ابزار می‌تواند موجب آسان‌سازی فرآیند انتقال یک سایت و محتویات آن به نقطه‌ای دیگر شود که این ویژگی در برخی سناریوها آن را به ابزاری برای توزیع محتوا تبدیل می‌کند.  این ابزار یک نقطه ضعف نیز دارد در زمان انتقال یک سایت با استفاده از ابزار SMIGRATE، تنظیمات امنیتی آن، به‌همراه دیگر اطلاعات منتقل نمی‌شود.

به‌یاد داشته باشید که پس از انتقال یا Restore حتماً این تنظیم‌هارا بررسی کنید. هرچند SMIGRATE تنظیمات امنیتی شما را نگهداری نمی‌کند، اما STSADM این کار را انجام می‌دهد. این ابزار کاربردی نه فقط یک سایت، بلکه مجموعه‌ای از سایت‌ها را منتقل کرده و علاوه بر آن قابلیت‌های دیگری نیز دارد. از این قابلیت‌ها می‌توان به ایجاد سایت، Import الگوها و انتقال داده اشاره کرد.

دقت کنید که پیش از اجرای فرامین از صحت پارامترها و مقادیر صحیح آدرس‌ها و نام‌ها مطمئن شوید. بهترین بخش کار این است که پس از آن می‌توانید کل فایل را به ویندوز Import کرده تا از بروز اشتباه در دفعات بعدی جلوگیری شود. این یک نمونه از Interface Context بود. کل موارد گفته‌شده برای دیگر اسکریپت‌های Context صادق است.  

10 نکته درباره  سرویس به‌روزرسانی ویندوز سرور

Windows Server Update Service

1 – فقط به به‌روز رسانی ویندوز بسنده نکنید

SUS که نسخه پیشین WSUS بود، می‌توانست Windows 2000 SP2, Windows XP Pro و Windows Server  2003 را به‌روز نگه دارد. WSUS به‌روز رسانی دیگر محصولات مایکروسافت را نیز مدیریت می‌کند. نسخه اولیه WSUS (سرنام Windows Server Update Service) قادر به به‌روزرسانی ویندوز 2000 و نسخه‌های بعد از آن، آفیس XP و 2003، Exchange Server 2003 و SQL Server 2000 بوده و شامل نسخه دسکتاپ و MSDE 2000 است. مایکروسافت در نظر دارد، در‌نهایت WSUS را به ابزاری برای به‌روزرسانی کلیه محصولات مایکروسافت مبدل سازد.

2 – ملزومات کلاینت و سرور WSUS

اجــزای سـرور WSUS روی Windows 2000 SP4 یــا Windows Server 2003 اجــرا شـــده و نیــــازمنـــد
(IE 6 SP1+ ، SQL Server 2000 SP3a+ ، MSDE، IIS، .Net Framework1.1 SP1، Background Intelligent Transfer Services 2.0 (BITS و WinHTTP 5.1 است.

در سمت کلاینت سیستم‌عامل‌های Windows 2000 SP3+ ، ویندوز اکس‌پی یا ویندوز سرور 2003 مورد نیاز هستند. در بخش سخت‌افزار نیز مایکروسافت پیشنهاد می‌کند برای سیستم‌هایی که وظیفه آپدیت کمتر از پانصد کلاینت را بر عهده دارند از پردازنده‌ای سریع‌تر از یک گیگاهرتز و یک گیگابایت رم و برای سیستم‌هایی که وظیفه به‌روز‌رسانی پانصد تا ده هزار کلاینت را برعهده دارند از پردازنده‌ای سریع‌تر از سه گیگاهرتز و یک گیگابایت رم و در‌نهایت برای سیستم‌هایی که به‌روز‌رسانی بیش از ده هزار کلاینت را انجام می‌دهند از پردازنده دو‌هسته‌ای با یک گیگابایت رم استفاده شود.

3 – SMS  (سرنام Systems Management Server)  در برابر WSUS

SMS و WSUS مشترکات زیادی داشته و هر دو اصلاحیه‌های به‌روزرسانی را روی سرورها و سیستم‌های رومیزی نصب می‌کنند. هرچند WSUS فاقد قابلیت SMS برای مدیریت سیستم‌ها است. SMS قابلیت‌های دیگری مانند Inventory Management، گزارش‌گیری پیشرفته و Remote Administration دارد.

4 – تخصیص بهتر پهنای باند با استفاده از BITS

WSUS و Windows Update به‌روزرسانی‌های کلاینت را از طریق سرویس Background Intelligent Transfer Services (BITS) 2.0 صورت می‌دهد. BITS با استفاده از پهنای باند قابل دسترس برای دانلود به‌روز‌رسانی‌ها آن‌هم در پشت صحنه اقدام می‌کند.

این سرویس می‌تواند به‌روز‌رسانی‌های  حجیم را دانلود کرده و مشکلاتی نظیر قطعی‌های شبکه را شناسایی و رفع کند. این ویژگی در مقایسه با مکانیزم به‌روزرسانی قبلی اهمیت بیشتری دارد. به‌ویژه در مواردی که در اثنای دانلود به‌روز‌رسانی‌های حجیم، کارایی کلی شبکه برای تمام کاربران کاهش می‌یابد.

باوجود این‌که این راه‌حل هنوز یک راه‌حل ایده‌آل و به‌دور از ایراد و اشکال برای مدیریت پهنای باند نیست، اما BITS پیشرفتی در خصوص نگه‌داشتن ترافیک به‌روز‌رسانی‌ها به پشت صحنه و مدیریت آن‌ها محسوب می‌شود.

5 – گزارش قابلیت‌ها توسط WSUS

SUS فاقد یک گزارش‌دهی خوب بود و مایکروسافت این کوتاهی را از طریق قرار دادن قابلیت‌های قدرتمند گزارش‌دهی در WSUS جبران کرده است. «گزارش وضعیت اصلاحیه‌ها» در WSUS به مدیر سیستم کمک خواهد کرد تا نسبت به شناسایی ماشین‌هایی که نیازمند نصب اصلاحیه بوده و به‌نوعی یک تهدید امنیتی محسوب می‌شوند، اقدام کند.

دیگر گزارش‌های استاندارد یک دید کلی را به تنظیمات پیکربندی WSUS می‌افزاید و ویژگی تشخیص به‌روز‌رسانی‌های مناسب برای کلاینت‌ها و همچنین مشاهده وضعیت کلی هر یک از دستگاه‌ها از امکاناتی هستند که WSUS در اختیار مدیر سیستم قرار خواهد داد.

6 – توانایی WSUS در مدیریت به‌روز‌رسانی‌ از چندین طریق

کلاینت‌های  WSUS می‌توانند به‌روز‌رسانی‌های کاملی را از WSUS  Server یا به‌طور مستقیم از روی سرور به‌روز‌رسانی مایکروسافت دانلود کنند. دانلود اصلاحیه از سرور محلی بالاترین کارایی را به همراه خواهد داشت، زیرا در این‌صورت کلاینت‌ها می‌توانند از طریق یک خط اختصاصی پرسرعت به‌عنوان مستقیم از روی شبکه به‌روز رسانی‌ها را دانلود کنند. در مواردی که بستر ارتباطی کلاینت‌ها با سرور محدودیت‌هایی دارد، بهترین راه دانلود مستقیم آن‌ها از روی سرور به‌روز رسانی مایکروسافت خواهد بود.

7 – کنترل پیاده‌سازی به‌روز رسانی‌ها از طریق هدف‌یابی Client-Side یا Server-Side

سرویس WSUS مدیر سیستم را قادر می‌سازد تا مقصد به‌روز‌رسانی‌ها را با استفاده از «گروه‌های ماشین» که ایجاد شده از طریق دو روش هدف‌یابی می‌کنید:  هدف‌یابی سمت سرور (Server-Side) یا هدف‌یابی  سمت کلاینت‌ها (Client-Side) . برای استفاده از هدف‌یابی Server-Side باید گروه‌هایی را از داخل برگه Computers کنسول WSUS ایجاد و تعریف کنید.

برای هدف‌یابی Client-Side نیز باید دستگاه را از طریق Group Policy یا از طریق دستکاری در رجیستری به گروه خاصی اختصاص دهید. برای ایجاد یک گروه جدید در کنسول WSUS از مسیر Computers> Create A Computer Group نام جدیدی برای گروه انتخاب کرده و روی دکمه OK کلیک کنید.

8 – قابلیت‌های خط فرمان WSUS

برنامه wsusutil.exe شامل گزینه خط فرمانی است که به مدیر سیستم اجازه می‌دهد نسبت به Export و Import  کردن متادیتای  به‌روز‌رسانی اقدام کرده و ضمن جابه‌جایی مجوز به‌روز‌رسانی‌ها از سرور SUS به WSUS، فهرستی از مجوزها تهیه کرده و در ضمن مجوزهای غیرمعتبر را حذف کند.
 
wsusutil.exe به‌عنوان پیش‌فرض در مسیر C:\Program Files\Update Services\Tools سرور WSUS قرار دارد. برای مشاهده فهرستی از پارامترهای خط فرمان WSUS دستور?/C:\Program Files\Update Services\Tools\wsusutil  را در خط فرمان تایپ کنید.

9 – WSUS مقیاس‌پذیر است

باوجود این‌که حتی از طریق یک سرور WSUS نیز خواهید توانست از تعداد زیادی از کلاینت‌ها (بیش از ده هزار) پشتیبانی کنید، اما مایکروسافت امکانات بیشتری را برای مقیاس‌پذیری هر چه بیشتر این محصول با سرورهای Uupstream و Downstream در آن تعبیه کرده است. یک سرور WSUS Downstream به‌روز‌رسانی‌های خود را از سرور بعدی Upstream دریافت می‌دارد.

در‌نهایت، یکی از سرورها در این زنجیره به‌روز‌رسانی‌های خود را به‌طور مستقیم از Microsoft Update دریافت خواهد داشت. WSUS همچنین از اصول «نسخه‌برداری» نیز پشتیبانی کرده و به‌این ترتیب با کپی‌برداری چندین سرور از روی سرور اصلی WSUS، یک توپولوژی توزیع‌یافته از به‌روز‌رسانی ایجاد خواهد شد.

10 – نیاز WSUS به آخرین نسخه Automatic Update

WSUS به به‌روز‌رسانی‌هایی نیازدارد که بتوانند از طریق Automatic Update روی سیستم‌ها اعمال شوند. WSUS همیشه در تلاش برای به‌روزرسانی مناسب و در چالش با نسخه‌های مختلف Automatic Update موفق نخواهد بود. یک به‌روز‌رسانی ناموفق می‌تواند، موجب عدم نمایش کلاینت در کنسول WSUS شود. برای کسب اطلاعات بیشتر می‌توانید به آدرس زیر مراجعه کنید:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/WSUS/ WSUSOperationsGuideTC/b23562a8-1a97-45c0-833e-084cd463d037.mspx

10 نکته درباره فهرست‌های کنترل دسترسی  Cisco IOS

Cisco IOS ACL

1 - فهرست کنترل دسترسی یا ACL چیست؟

در Cisco IOS یک فهرست کنترل دسترسی وجود دارد که در اصل رکوردی است که از آن برای مدیریت و شناسایی ترافیک شبکه استفاده می‌شود. پس از تشخیص و مشاهده ترافیک، مدیر شبکه می‌تواند رویدادهای مختلفی را که برای ترافیک اتفاق می‌افتند، شناسایی کند.

2 - رایج‌ترین نوع ACL کدام است؟

از IP ACLها می‌توان به‌عنوان رایج‌ترین نوع فهرست‌های کنترلی نام برد، زیرا IP معمول‌ترین نوع ترافیک شبکه است. به‌عنوان کلی دو نوع IP ACL وجود دارد: Standard و extendedم. Standard IP ACL فقط قادر به کنترل ترافیک براساس آدرس IP منبع است. در مقابل، Extended IP ACL دارای قدرت بیشتری بوده و می‌تواند ترافیک را از طریق IP منبع، پورت منبع، IP مقصد و پورت مقصد تحلیل و شناسایی کند.

3 - رایج‌ترین اعداد برای IP ACLهاکدامند؟

رایج‌ترین اعداد مورد استفاده برای IP ACLهاعبارتند از، اعداد 1 تا 99 برای فهرست‌های Standard و اعداد 100 تا 199 برای فهرست‌های Extended . گرچه طیف‌های عددی دیگری نیز مورد استفاده می‌گیرند:

Standard IP ACLs: 1 to 99 and 1300 to 1999 Extended IP ACLs: 100 to 199 and 2000 to 2699

4 - چگونه با استفاده از ACL می‌توان ترافیک را فیلتر کرد؟

فیلتر کردن ترافیک با استفاده از ACLها بر مبنای سه “P”  قرار دارد: Per  protocol ,Per Interface و Per direction. شما می‌توانید یک ACL را برای هر پروتکل (به‌عنوان مثال IP یا IPX)، یک ACL را برای هر Interface (به‌عنوان مثال FastEthernet0/0) و یک ACL را برای هر Direction (مانند IN یا OUT) به‌کار گیرید.

5 - ACL و محافظت از شبکه در برابر ویروس‌ها

مدیر شبکه می‌تواند از ACL به‌عنوان یک Packet Sniffer برای بسته‌های اطلاعاتی که مشخصات به‌خصوصی داشته باشند، استفاده کند. به‌عنوان مثال، اگر ویروسی روی شبکه وجود داشته باشد که اطلاعات را از طریق پورت IRC194 به خارج از شبکه ارسال می‌کند، می‌توانید با ایجاد یک Extended ACL (مانند شماره 101) ابزاری را برای شناسایی ترافیک ایجاد کنید.

پس از آن می‌توانید از فرمان «debug ip packet 101 detail»روی روتر منتهی به اینترنت برای فهرست کردن تمام آدرس‌های IP منبع که اقدام به ارسال اطلاعات روی پورت 194 می‌کنند، استفاده کنید.

6 - ترتیب عملیات در یک ACL

روترها ACLها را از پایین به بالا اجرا می‌کنند. پس از این‌که روتر ترافیک را با فهرست مطابقت داد، آن‌گاه از ابتدای فهرست شروع کرده و به‌طرف پایین حرکت می‌کند و در مسیر حرکت خود ترافیک‌ها را تأیید یا آنان را رد می‌کند. وقتی روتر به انتهای فهرست می‌رسد عملیات را متوقف می‌سازد.

این مطلب به این معنی است که هر کدام از قوانین با توجه به تقدم و تأخر در فهرست اجرا می‌شوند. اگر بخش‌های ابتدایی ACL ترافیک را رد کرده، اما بخش‌های پایینی آن را تأیید کنند، روتر کماکان ترافیک را رد خواهد کرد. به مثالی در این زمینه توجه کنید:

Access-list 1 permit any Access-list 1 deny host 10.1.1.1 Access-list 1 deny any

به‌نظر شما این ACL به کدام ترافیک اجازه عبور می‌دهد؟ خط اول کلیه ترافیک‌ها را تأیید می‌کند. به همین دلیل، تمام ترافیک‌ها با این شرط مطابقت کرده و اجازه عبور می‌گیرند. سپس در انتها فرآیند با به‌اتمام رسیدن متوقف می‌شود.

7 - ترافیک‌هایی که آدرس آنان دقیقاً در ACL مشخص نمی‌شود

در انتهای هر ACL یک اشاره تلویحی به رد ترافیک آمده است. خواه آن جمله را ببینید، خواه نبینید، روتر تمام ترافیک‌هایی را که با شرط مزبور در ACL مطابقت نکنند، رد خواهد کرد. به مثال توجه کنید:

Access-list 1 deny host 10.1.1.1 Access-list 1 deny 192.168.1.0 0.0.0.255

Access-list 1 deny host 10.1.1.1 Access-list 1 deny 192.168.1.0 0.0.0.255 Access-list 1 deny ANY

این ACL به کدام ترافیک اجازه عبور خواهد داد؟ هیچ‌کدام. روتر تمام ترافیک‌ها را مسدود خواهد کرد، زیرا در اینجا یک اشاره تلویحی در انتهای فهرست آمده است. به‌عبارت دیگر، این ACL در واقع به‌شکل زیر خواهد بود:

8 – نام‌گذاری روی ACLها

چه کسی می‌تواند با اعداد کار کند؟ مدیران شبکه می‌توانند با نام‌گذاری روی ACLها کار با آن‌ها را ساده‌تر کرده و نام‌هایی مناسب با اهداف را برای آن‌ها انتخاب کنند. هر دو نوع ACLها یعنی Standard و Extended قابل نام‌گذاری هستند. در ادامه مثال‌هایی از نام‌گذاری ACLها را ببینید:

? router (config) #   ip access-list  extended       Extended Access List     log-update    Control access list log updates          logging         Control access list logging          resequence    Resequence Access List          standard        Standard Access List     router (config) #     ip access-list extended test #router (config-ext-nacl) router (config-ext-nacl) #     10 deny ip any host 192.168.1.1 router (config-ext-nacl) #     exit router (config) #     exit router#    show ip access-list Extended IP access list test 10deny ip any host 192.168.1.1

9 - تسلسل اعداد

پیش از این یک مدیر شبکه نمی‌توانست ACL را ویرایش کند، بلکه فقط می‌توانست آن‌را در داخل یک ویرایشگر متنی (مانند Notepad) کپی آن را پاک کرده، در داخل ویرایشگر ویرایش و سپس دوباره ACL را ایجاد کند. در حقیقت، این روش هنوز هم یکی از بهترین روش‌ها برای ویرایش برخی از پیکربندی‌های سیسکو به‌حساب می‌آید.

البته، باید توجه داشت که این عمل می‌تواند موجب ایجاد تهدیدات امنیتی شود. در فاصله زمانی که ACL را برای ایجاد تغییرات پاک کرده‌اید، روتر آن‌گونه که باید نمی‌تواند ترافیک را کنترل کند. اما این امکان وجود دارد که ACLهای شماره‌گذاری شده را توسط فرامین ویرایش کرد. مثال زیر نمونه‌ای از این عملیات است:

router (config) #     access-list 75 permit host 10.1.1.1 router (config) #     ^Z router#      conf  t .Enter configuration commands, one per line. End with CNTL/Z router (config) #     ip access-list standard 75 router (config-std-nacl) #     20 permit any router (config-std-nacl) #     no 10 permit 10.1.1.1 router (config-std-nacl) #     ^Z router# show ip access-list 75 Standard IP access list 75 20permit any     #router

10 - کاربردهای دیگر ACL
ACL فقط برای فیلترکردن ترافیک شبکه نیست. مدیران شبکه می‌توانند از آن‌ها برای مجموعه متنوعی از عملیات مختلف استفاده کنند. در زیر برخی دیگر از استفاده‌های احتمالی ACLها را می‌بینیم.

برای کنترل خروجی دیباگ: شما می‌توانید از فرمان debug list X برای کنترل خروجی دیباگ استفاده کنید. با به‌کارگیری این فرمان پیش از دیگر فرامین دیباگ، این فرمان تنها روی آنچه که در داخل فهرست مشخص کرده‌اید، اعمال خواهد شد. 

برای کنترل دسترسی روتر، شما می‌توانید با استفاده از یک ACL توزیعی فقط به مسیرهای مشخصی در خارج یا داخل پروتکل مسیریابی خود اجازه دسترسی دهید. به‌عنوان یک BGP ACL ، شما می‌توانید از Regular Expression برای تأیید یا رد مسسیرهای BGP استفاده کنید. 

برای مدیریت مسیریابی: می‌توانید از ACL برای کنترل این‌که کدام ایستگاه‌های کاری یا شبکه روتر را مدیریت کنند، استفاده کنید. 

برای رمزنگاری: شما می‌توانید از ACL برای تعیین چگونگی رمزنگاری ترافیک استفاده کنید. وقتی اقدام به رمزنگاری ترافیک میان دو روتر یا یک روتر و یک فایروال می‌کنید، باید به روتر بگویید که کدام ترافیک باید رمزگذاری شده، کدام ترافیک به‌صورت بدون رمز ارسال شده و کدام یک مسدود شود. 

10 نکته درباره  مدیریت پروژه‌های IT

Managing IT Projects

1 - حرفه‌ای باشید

در گذشته پروژه‌های IT سابقه بدی درخصوص کسری بودجه، کمبود زمان و پیاده‌سازی ضعیف داشتند. به‌کارگیری افراد حرفه‌ای در مسئولیت‌های کلیدی می‌تواند اعتبار زیادی به تلاش‌های شما ببخشد. اگر اندازه پروژه شما به‌میزانی‌است که می‌توان یک‌نفر را در جایگاه مدیر پروژه به‌کار گرفت، این‌کار را انجام دهید. استفاده و به‌کارگیری مشاوران مناسب و معتبر نیز کارایی پروژه‌ها را افزایش می‌دهد.

2 - قوانین رهبری را بشناسید

وادار ساختن کارکنان به احساس مسئولیت نسبت به معیارهای مشخص پروژه اهمیت به‌سزایی دارد. این‌کار از طریق انتساب افراد مناسب در جایگاه‌های مناسبی که متناسب با استعدادهای آنان باشد، صورت خواهد گرفت. اما باید مراقب بود تا این کار  اعضای دیگر را تحت تأثیر قرار نداده و تحریک نکند.

پروژه‌های IT غالباً تأکید بسیار زیادی بر قابلیت‌ها و مهارت‌های فنی برخی افراد معدود (و در مواردی حتی روی یک فرد) دارند و زمانی که درصد این منابع در جریان سیکل کاری پروژه کاهش می‌یابد، کارایی کلی پروژه با رکود و نقصان مواجه خواهد شد.

همچنین باید از این‌که کارکنان متصدی در حوزه‌های خاص پروژه مسئولیت‌های خود را انباشته نمی‌کنند، اطمینان حاصل کنید. به‌عنوان مثال، ممکن است یک فرد یا گروه کوچکی از افراد که همکاری خوبی با یکدیگر دارند، بدون این‌که نیازمند صرف زمان زیادی برای پروژه باشند، تأثیر خوبی روی پیشرفت کلی پروژه برجای گذارند و در حوزه کاری خود از برنامه پروژه نیز جلوتر باشند.

افراد در جایگاه رهبری باید از این‌که پروژه در پایان کار مطابق با استانداردهای مورد نیاز به‌پایان خواهد رسید، اطمینان حاصل کنند. مثال‌های بارز این مطلب شامل مسئولیت‌هایی مانند مدیر فنی، مدیر پروژه یا مدیر امور اداری است.

مدیران این جایگاه‌ها با ایجاد سیستم نظارتی سلسله‌مراتبی پروژه را در مواردی مانند این‌که فردی به‌ شکل ناگهانی به سمتی رسیده یا به عکس شرکت را ترک می‌کند، محافظت خواهند کرد. پیوستگی و استمرار این زنجیره می‌تواند موجب قدرتمندتر شدن و یکپارچگی افراد در سطح پروژه شده و از این‌که مدیران پروژه با موفقیت آن را به پیش خواهند برد، اطمینان حاصل می‌شود.

3 - تمرکز بر «مدیریت محدوده»

مدیریت محدوده یا Scope Management طبق تعریف عبارت است از: «مدیریت گروهی برای اطمینان از توجه به فعالیت‌های پروژه به صورت جامع و مانع شکلی که هدف پروژه به‌عنوان کامل قابل حصول باشد.» این روش مدیریت یکی از مهم‌ترین وجوه پروژه‌های IT بوده و وظیفه کل گروه است تا از این موضوع که هرگونه تغییر در دامنه وظایف به‌عنوان صحیح منعکس شود، اطمینان حاصل کنند.

فرآیند پروژه شامل دستورالعمل‌هایی برای ارائه پیشنهاد‌هایی در زمینه تغییر در دیدگاه‌ها است.  مطلب مهم دیگر این است که مکانیزم رسمی برای مستندسازی پروژه باید با بازبینی اساسی رو‌به‌رو شود، زیرا اهداف می‌توانند در نیازمندی‌های عملیاتی تغییراتی ایجاد کنند و به‌این ترتیب، تغییر در مستندات از موارد ضروری به‌حساب خواهد آمد.

در مواردی که تغییر در برنامه‌ها و دیدگاه‌ها الزامی به‌نظر می‌رسد، کنترل مناسب در بازبینی این اطمینان را به‌وجود خواهد آورد که سطوح عملیاتی اصلی کماکان از طریق مستندات قابل دسترس هستند.

4 - ایجاد تعریف دقیق از پروژه

مشخص ساختن پروژه آن‌هم به‌صورت شفاف و کامل می‌تواند راه را برای پیاده‌سازی صحیح کلیه وجوه بعدی پروژه هموار سازد. وجود یک تعریف دقیق از پروژه و فرآیندهای مرتبط با آن موجب خواهد شد تا پروژه زیرساختی قدرتمند و استوار داشته باشد.

5 - تهدیدات را شناسایی کنید

طبیعت پروژه‌های IT به‌گونه‌ای است که می‌توانند به روش‌های مختلف موجبات بروز تهدید را فراهم کنند، زیرا این پروژه‌ها به وفور از محصولات فروشندگان مختلف، خدمات مشاوران و پیمانکاران بهره می‌برند. به‌عنوان مثال، چنان‌چه سازمان شما با یک شرکت پیمانکار قراردادی را برای یاری رساندن به کارمندان شما برای پیاده‌سازی اکتیودایرکتوری و مهاجرت از Windows 2000 Professional به Windows XP Professional برای کلاینت‌ها انعقاد کند، ممکن است با ریسک رهاکردن کار از سوی پیمانکار، رفتن به‌سمت یک مشتری مهم‌تر یا ارائه یک کار نامرغوب و بی‌کیفیت رو‌به‌رو شوید.

هر یک از عناصر مرتبط با ریسک (منابع، برنامه‌ریزی، کارائی، هزینه و...) باید به‌خوبی ارزیابی و شناسایی شوند. این وظایف معمولاً برعهده مدیر پروژه یا یکی دیگر از کارکنان مجاز برای انجام این‌کار است. ارزیابی‌های دوره‌ای ریسک و پیگیری‌های لازم به‌طور مستقیم به فرآیندهای پروژه وابسته هستند. فرآیندهای آشکارساز ریسک‌ها نیز به‌خودی خود در یک چرخه پروژه نیازمند برخی منابع هستند. به‌عنوان مثال، اگر یکی از پیمانکاران پروژه در مقطعی از کار، وظایف خود را به شرکت دیگری واگذار کرد از اختصاص منابع لازم برای نظارت بر پیمانکار جدید اطمینان حاصل کنید.

6 – مدیریت روابط با طرف‌های بیرونی

پروژه‌های IT همواره در برخی از سطوح دارای ارتباطاتی با طرف‌های بیرون از سازمان هستند. این طرف‌ها می‌توانند به‌شکل زیر باشند:

-  مشاوران
- شرکای تجاری
- فراهم کنندگان سرویس
- فروشندگان
- توزیع‌کنندگان نرم‌افزار
- تولیدکنندگان تجهیزات

وجود روابط با طرف‌های بیرونی نیازمند اختصاص برخی از منابع داخلی و همچنین وجود توانایی برای ارائه مناسب اطلاعات مرتبط با پروژه خواهد بود. در هر حال و در هر شرایطی مطمئن شوید که هر یک وظایف سازمانی و نیازمندی‌ها به‌خوبی تعریف شده باشند.

در هر پروژه باید یکی از کارکنان مسئولیت مدیریت روابط خارجی را برعهده داشته تا همواره از در دسترس بودن منابع لازم برای طرف‌های بیرونی اطمینان حاصل شود. اگر سازمان شما چندین پروژه را در آن واحد در دست دارد، به احتمال این فرد باید همه این مسئولیت‌ها را برای تمام پروژه‌ها در اختیار داشته باشد.

7 – ایجاد استانداردهای قوی برای مستندسازی

مستندسازی کلید موفقیت پروژه‌های IT محسوب می‌شود. به‌خصوص در مواقعی که پس از پیاده‌سازی، نیاز به برخی تغییرات احساس می‌شود. همواره مطمئن باشید که توقعات از مستندات به‌وضوح تعریف شده و مخازن استاندارد برای نگهداری صحیح اسناد در دسترس باشد. مکانیزم‌های کنترل بازبینی نیز از اهمیت به‌سزایی برخوردار هستند.

به‌ویژه زمانی که تغییرات سفارشی و خارج از برنامه باید صورت پذیرند.  علاوه بر این موارد، در اختیار داشتن مستنداتی که نیازهای اسنادی را به‌خوبی تعریف کنند نیز ایده مناسبی خواهد بود. شاید این‌کار در مرحله اول کاری اضافی به‌نظر آید، اما با پیچیده‌تر شدن مقیاس‌های پروژه، وجود چنین استانداردهایی ارزش بیشتری یافته و پیاده‌سازی و مدیریت پروژه را به موفقیت نزدیک خواهد کرد.  وجود استانداردهای قوی برای مستندسازی، فواید زیر را متوجه پروژه‌های IT خواهد کرد:

- افراد جدید سریع‌تر با دیگران تطبیق می‌یابند.
- کارهای مرتبط با پروژه که قرار است در آینده اجرا شوند، به‌سهولت آغاز می‌شوند.
- تغییر در وظایف آسان‌تر صورت گرفته و آزمایش می‌شود.

8 – کانال‌های ارتباطی مؤثری ایجاد کنید

مدیریت پروژه نیازمند ارتباطات صریح است. ایمیل مکانیزم مناسبی در این راه به‌نظر می‌رسد. درنتیجه، این ابزار به‌سرعت می‌تواند به ابزاری ناکارآمد و مزاحم تبدیل شود. یک راه مناسب، شناسایی دقیق مخاطبان است، آن هم درست در زمانی که نیاز به پاسخ احساس شود.

با استفاده صحیح از فیلدهای :TO و :CC می‌توانید از ارسال پیام‌های مبهم و غیرضروری به افرادی که بی‌ارتباط با موضوع هستند، جلوگیری کند. شکل  روبه‌رومثال است خوبی از یک ایمیل ارتباطی که مسئولیت‌های مشخصی را ابلاغ می‌کند:

این ایمیل به وضوح نشان می‌دهد که گیرنده نامه ویلیام (William) است. اگر نیاز باشد تا وظایف خاصی از طریقی خاص انجام پذیرد، مشخص است که این وظایف بر عهده (ویلیام) خواهند بود. افراد دیگری که به‌نحوی مسئولیت‌های دیگری را در این ارتباط برعهده دارند، به این شکل درخصوص وظایف خود آگاهی خواهند یافت. برخی عادات کوچک می‌توانند کارایی‌های مؤثری را به الگوهای ارتباطی بیافزایند. 

به‌ویژه زمانی که با طرف‌های بیرونی در تعامل هستید. در مثال بالا افراد متعلق به دیگر سازمان‌ها برای روشن شدن نحوه تقسیم وظایف در گروه‌های مجزا دسته‌بندی شده‌اند. تاکنون چند ایمیل کاری دریافت کرده‌اید که در مخاطب قرار گرفتن خود تردید داشته‌اید؟

مهم‌تر از آن این‌که پاسخ آن ایمیل‌ها را باید به کجا ارسال می‌کردید؟ برای ارسال برنامه‌های مربوط به زمان‌بندی، وضعیت گزارش‌ها، طرح دیدگاه‌ها و موارد جدیدی که در ارتباط با پروژه اتفاق می‌افتند، برنامه‌ریزی داشته و آنان را اولویت‌بندی کنید. ایجاد ارتباطات صریح، واضح و دارای مخاطب مشخص، یکی از عادات مثبتی است که در پروژه‌های IT به‌شما یاری خواهد رساند.

9 – مراقب هزینه‌ها باشید

هر اندازه بیشتر از فناوری استفاده کنید، دغدغه‌های مربوط به هزینه افزایش بیشتری خواهند یافت. هزینه یکی از مهم‌ترین موارد در پروژه به‌حساب می‌آید. هر یک از اعضای مرتبط با پروژه باید نگران هزینه‌های مرتبط با وظایف خود در پروژه باشند. این موضوع به‌خصوص زمانی اهمیت بیشتری می‌یابد که اهداف و دامنه پروژه دچار تغییر و دگرگونی شده است. به‌عنوان مثال، سناریوهای فنی زیر را در نظر بگیرید:

- نسخه جدیدی از یک نرم‌افزار حساس و کلیدی منتشر شده است.
- یک حفره امنیتی در یکی از اجزای نرم‌افزاری پروژه نمایان است.
- تجهیزات کامپیوتری سریع‌تر و جدیدتر مورد نیاز باشد.

تغییر در اهداف و موضوع پروژه می‌تواند یکی از دلائل بروز این موارد باشد که می‌تواند به افزایش هزینه‌ها منجر شود. نیاز به مجوزهای نرم‌افزاری جدید، کمبود فضا، مجوزهای منقضی شده، تجهیزات و نرم‌افزارهای بدون استفاده و زمان‌های از دست‌رفته همگی از عواملی هستند که هزینه‌های یک پروژه را به‌نحو قابل توجهی افزایش خواهند داد. تأثیر نگرانی حاصل از افزایش هزینه‌ها نمی‌تواند مانع از تغییر در برنامه‌ها شود. با ‌وجود این، این عامل نیز باید به‌عنوان یکی از عوامل دخیل در پروژه مد نظر قرار گیرد.

10 – مرحله اتمام پروژه

زمانی که تعهدات به پایان رسیده و کلیه موارد ذکر شده در قرارداد به‌عنوان مناسب انجام شدند، وقت اتمام و بستن پروژه فرا خواهد رسید. بسته به نوع پروژه و وظایف تعریف شده در آن، مرحله اتمام پروژه و تحویل کار اهمیت زیادی خواهد یافت. از این‌که تمام اعضا وظایف مرتبط با خود را به‌نحو احسن انجام داده و رضایت کارفرما (چه داخلی و چه خارجی) درخصوص نتیجه نهایی برآورده شده اطمینان حاصل کنید.

با توجه به اهداف و طبیعت پروژه‌های IT ، مرحله تحویل پروژه ممکن است نیازمند بخشی به‌نام «پشتیبانی» باشد. ممکن است نیاز باشد که در این مرحله برخی از منابع (انسانی و غیر انسانی) کماکان به وظایف خود ادامه دهند که در این‌حالت اطلاعات جمع‌آوری شده در زمان اجرای پروژه کمک خوبی به ارتقای کیفی مرحله پشتیبانی که بخشی از پروژه است، خواهد کرد.

10 نکته درباره کار با مجوزها

Permissions