Τα κορυφαία πέντε σημεία πόνου διαχείρισης Active Directory

Περιεχόμενο

• 1. Η ενασχόληση με τις ομάδες που έχουν ενσωματωθεί
• 2. Εναλλαγή σε RBAC από ACLs
• 3. Διαχείριση υπολογιστών
• No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας
• 4. Διαχείριση των κλειδιών λογαριασμού χρήστη
• 5. Ανύψωση άδειας και ερπυσμός αδειών

Πηγή: Tmcphotos / Dreamstime.com

Πάρε μακριά:

Μάθετε πέντε βασικές περιοχές του AD που ίσως απαιτούν παρέμβαση λογισμικού τρίτου μέρους.

Αρκετά ίσως ακόμη πιο κρίσιμη για την επιχείρησή σας από την πιο αξιόλογη εφαρμογή σας ή την πιο προστατευμένη πνευματική ιδιοκτησία σας είναι το περιβάλλον Active Directory (AD). Η υπηρεσία Active Directory είναι βασική για το δίκτυό σας, το σύστημα, την ασφάλεια χρηστών και εφαρμογών. Καθορίζει τον έλεγχο πρόσβασης για όλα τα αντικείμενα και τους πόρους μέσα στην υπολογιστική σας υποδομή και με σημαντικό κόστος τόσο σε ανθρώπινο όσο και σε υλικό υλικό που απαιτείται για τη διαχείρισή του. Και χάρη σε προμηθευτές λογισμικού τρίτων κατασκευαστών, μπορείτε επίσης να προσθέσετε συστήματα Linux, UNIX και Mac OS X στο ρεπερτόριο διαχειριζόμενων πόρων της AD.

Η διαχείριση του AD για περισσότερες από λίγες δεκάδες χρήστες και ομάδες γίνεται πολύ οδυνηρή. Και η βασική διεπαφή και η οργάνωση της Microsoft δεν βοηθούν στην ανακούφιση αυτού του πόνου. Η υπηρεσία Active Directory δεν είναι ένα αδύναμο εργαλείο, αλλά υπάρχουν πτυχές που αφήνουν τους διαχειριστές να αναζητούν εργαλεία τρίτων. Αυτό το κομμάτι εξετάζει τις κορυφαίες διοικητικές αδυναμίες της AD.

1. Η ενασχόληση με τις ομάδες που έχουν ενσωματωθεί

Πιστέψτε το ή όχι, υπάρχουν βέλτιστες πρακτικές που σχετίζονται με τη δημιουργία και τη χρήση ενοποιημένων ομάδων AD. Ωστόσο, αυτές οι βέλτιστες πρακτικές θα πρέπει να μετριάζονται με ενσωματωμένους περιορισμούς AD, έτσι ώστε οι διαχειριστές να μην επιτρέπεται να επεκτείνουν τις ενωμένες ομάδες σε περισσότερα από ένα επίπεδα. Επιπλέον, ένας περιορισμός για την αποτροπή περισσοτέρων από μία ένθετες ομάδες ανά υπάρχουσα ομάδα θα αποτρέψει την εμφάνιση μελλοντικών προβλημάτων διαχείρισης και διοίκησης.

Η τοποθέτηση σε πολλαπλά επίπεδα ομάδας και η δυνατότητα πολλαπλών ομάδων εντός ομάδων δημιουργεί σύνθετα προβλήματα κληρονομικότητας, παρακάμπτει την ασφάλεια και καταστρέφει οργανωτικά μέτρα που η ομάδα διαχείρισης σχεδιάστηκε για να αποτρέψει. Οι περιοδικοί έλεγχοι AD θα επιτρέψουν στους διαχειριστές και τους αρχιτέκτονες να επανεξετάσουν την οργάνωση της AD και να διορθώσουν την ένταση της ανάπτυξης των ομάδων.

Οι διαχειριστές του συστήματος είχαν εδώ και πολλά χρόνια τα "Διαχειριστείτε ομάδες, όχι άτομα", ενώ η διοίκηση ομάδων οδηγεί αναπόφευκτα σε ενωμένες ομάδες και κακές διαχειριζόμενες άδειες. (Μάθετε για την ασφάλεια που βασίζεται στον ρόλο του Softerra Adaxes εδώ).

2. Εναλλαγή σε RBAC από ACLs

Η απομάκρυνση από τις λίστες ελέγχου πρόσβασης που βασίζονται στους χρήστες (ACL) Το στυλ διαχείρισης της AD στη μέθοδο της επιχείρησης που βασίζεται στον έλεγχο ρόλων με βάση το ρόλο (RBAC) φαίνεται να είναι εύκολο. Δεν είναι έτσι με το AD. Η διαχείριση των ACL είναι δύσκολη, αλλά η μετάβαση στο RBAC δεν είναι ούτε βόλτα στο πάρκο. Το πρόβλημα με τους ACL είναι ότι δεν υπάρχει κεντρική θέση στο AD για τη διαχείριση των δικαιωμάτων, γεγονός που καθιστά τη διοίκηση δύσκολη και δαπανηρή. Το RBAC επιχειρεί να μετριάσει τις άδειες και τις αποτυχίες πρόσβασης, χειρίζοντας τα δικαιώματα πρόσβασης ανά ρόλο και όχι μεμονωμένα, αλλά εξακολουθεί να υπολείπεται λόγω της έλλειψης κεντρικής διαχείρισης δικαιωμάτων. Όμως, όσο οδυνηρή είναι η μετάβαση στο RBAC, είναι πολύ καλύτερο από το να χειρίζεστε χειροκίνητα τα δικαιώματα ανά χρήστη με ACL.

Οι ACL αποτυγχάνουν της επεκτασιμότητας και της εύχρηστης διαχειρισιμότητας επειδή είναι υπερβολικά ευρείες. Οι ρόλοι, εναλλακτικά, είναι πιο ακριβείς, επειδή οι διαχειριστές παραχωρούν δικαιώματα βάσει των ρόλων των χρηστών. Για παράδειγμα, εάν ένας νέος χρήστης σε ένα πρακτορείο ειδήσεων είναι συντάκτης, τότε έχει το ρόλο του Editor όπως ορίζεται στο AD. Ένας διαχειριστής τοποθετεί αυτόν τον χρήστη στην Ομάδα Editors που του παρέχει όλα τα δικαιώματα και την πρόσβαση που χρειάζονται οι Συντάκτες χωρίς να προσθέσει τον χρήστη σε πολλές άλλες ομάδες για να αποκτήσει ισοδύναμη πρόσβαση.

Το RBAC ορίζει δικαιώματα και περιορισμούς με βάση τη λειτουργία ρόλου ή εργασίας, αντί να εκχωρεί έναν χρήστη σε πολλές ομάδες που ενδέχεται να έχουν ευρύτερες άδειες. Οι ρόλοι RBAC είναι πολύ συγκεκριμένοι και δεν απαιτούν φώτα ή άλλες πολυπλοκότητες ACL για την επίτευξη καλύτερων αποτελεσμάτων, ένα πιο ασφαλές περιβάλλον και μια πιο εύκολα διαχειριζόμενη πλατφόρμα ασφαλείας.

3. Διαχείριση υπολογιστών

Η διαχείριση νέων υπολογιστών, η διαχείριση υπολογιστών που έχουν αποσυνδεθεί από τον τομέα και η προσπάθεια να γίνει κάτι με λογαριασμούς υπολογιστών καθιστά τους διαχειριστές να θέλουν να κατευθυνθούν προς το πλησιέστερο μπαρ Martini - για πρωινό.

No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας

Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.

Ο λόγος πίσω από έναν τόσο δραματικό ισχυρισμό είναι ότι υπάρχουν 11 λέξεις που ποτέ δεν θέλετε να διαβάσετε σε μια οθόνη ως Διαχειριστής των Windows: "Η σχέση εμπιστοσύνης μεταξύ αυτού του σταθμού εργασίας και του κύριου τομέα αποτύχει." Αυτές οι λέξεις σημαίνουν ότι είστε έτοιμοι να να περάσουν πολλές προσπάθειες και ενδεχομένως να επανασυνδεθούν πολλές ώρες με αυτόν τον απροσδόκητο σταθμό εργασίας στον τομέα. Είναι ατυχές το γεγονός ότι η τυπική ενημέρωση κώδικα της Microsoft δεν λειτουργεί. Η τυπική επιδιόρθωση συνίσταται στην επαναφορά του αντικειμένου λογαριασμού του υπολογιστή στην υπηρεσία καταλόγου Active Directory, στην επανεκκίνηση του σταθμού εργασίας και στη διέλευση των δακτύλων. Άλλα διορθωτικά μέτρα επαναπροσέγγισης είναι συχνά τόσο εξίσου αποτελεσματικά όσο και τα τυπικά, προκαλώντας έτσι στους διαχειριστές την επανάληψη του αποσυνδεδεμένου συστήματος προκειμένου να επανασυνδεθεί με τον τομέα.

4. Διαχείριση των κλειδιών λογαριασμού χρήστη

Δεν υπάρχει καμία λύση αυτοεξυπηρέτησης για αποκλεισμούς λογαριασμού, παρόλο που αρκετοί προμηθευτές λογισμικού τρίτων κατασκευαστών έχουν λύσει το πρόβλημα. Οποιοσδήποτε χρήστης πρέπει να περιμένει μια χρονική περίοδο πριν από την επανάληψη ή να επικοινωνήσει με έναν διαχειριστή για να επαναφέρει τον κλειδωμένο λογαριασμό. Η επαναφορά ενός κλειδωμένου λογαριασμού δεν αποτελεί σημείο άγχους για έναν διαχειριστή, αν και μπορεί να αποδειχθεί απογοητευτικό για έναν χρήστη.

Ένα από τα μειονεκτήματα του AD είναι ότι οι αποκλεισμοί λογαριασμού μπορούν να προέρχονται από άλλες πηγές εκτός από τον χρήστη που εισάγει έναν εσφαλμένο κωδικό πρόσβασης, αλλά ο AD δεν δίνει στον διαχειριστή τυχόν υποδείξεις ως προς την προέλευση.

5. Ανύψωση άδειας και ερπυσμός αδειών

Υπάρχει η δυνατότητα για προνομιούχους χρήστες να αυξήσουν περαιτέρω τα προνόμιά τους προσθέτοντας τους σε άλλες ομάδες. Οι προνομιακοί χρήστες είναι εκείνοι που έχουν κάποια αυξημένα προνόμια, αλλά έχουν επαρκή εξουσιοδότηση για να προστεθούν σε πρόσθετες ομάδες, γεγονός που τους παρέχει πρόσθετα προνόμια στην υπηρεσία καταλόγου Active Directory. Αυτό το ελάττωμα ασφαλείας επιτρέπει σε έναν εσωτερικό εισβολέα να προσθέτει προνόμια σταδιακά μέχρις ότου υπάρχει εκτενής έλεγχος σε έναν τομέα, συμπεριλαμβανομένης της δυνατότητας αποκλεισμού άλλων διαχειριστών. (Εξαλείψτε τις χειρωνακτικές διαδικασίες που καταναλώνουν πόρους στην Διαχείριση ταυτότητας υπηρεσίας καταλόγου Active Directory. Μάθετε πώς εδώ.)

Η ερμηνεία των δικαιωμάτων είναι μια κατάσταση που συμβαίνει όταν οι διαχειριστές αποτυγχάνουν να καταργήσουν χρήστες από μια συγκεκριμένη ομάδα προνομίων όταν αλλάζει η εργασία ενός χρήστη ή όταν ένας χρήστης εγκαταλείπει την εταιρεία. Η ερμηνεία των δικαιωμάτων επιτρέπεται στους χρήστες να έχουν πρόσβαση σε εταιρικά στοιχεία για τα οποία ο χρήστης δεν χρειάζεται πλέον. Η ανύψωση της άδειας και η ερμηνεία των δικαιωμάτων δημιουργούν σοβαρά προβλήματα ασφάλειας. Υπάρχουν διάφορες εφαρμογές τρίτων που μπορούν να εκτελέσουν ελέγχους για να ανιχνεύσουν και να αποτρέψουν αυτές τις συνθήκες.

Από τις μικρές επιχειρήσεις στις παγκόσμιες επιχειρήσεις, η υπηρεσία Active Directory χειρίζεται τον έλεγχο ταυτότητας χρήστη, την πρόσβαση σε πόρους και τη διαχείριση του υπολογιστή. Είναι ένα από τα πιο αξιόλογα κομμάτια της δικτυακής υποδομής στις επιχειρήσεις σήμερα. Ως ισχυρό εργαλείο όπως το Active Directory, έχει πολλές ελλείψεις. Ευτυχώς, οι πωλητές λογισμικού που δεν ανήκουν στη Microsoft έχουν επεκτείνει τις λειτουργίες της υπηρεσίας καταλόγου Active Directory, έχουν επιλύσει το κακό σχεδιασμό της διεπαφής διαχείρισης, έχουν ενοποιήσει τη λειτουργικότητά της και έχουν μασήσει μερικές από τις πιο έντονες ανεπάρκειές της.

Αυτό το περιεχόμενο έρχεται σε εσάς από τον συνεργάτη μας, Adaxes.