De fem bedste Active Directory Management smertepoint

Video.: Creating an Azure Active Directory People Picker In PowerApps

Indhold

1. Håndtering af nestede grupper
2. Skift til RBAC fra ACL'er
3. Håndtering af computere
Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv
4. Håndtering af brugerkontoklås
5. Permission Elevation and Permission Creep

Kilde: Tmcphotos / Dreamstime.com

Tag væk:

Lær fem centrale områder i AD, der muligvis kræver tredjeparts softwareindgreb.

Der er muligvis endnu mere kritisk for din virksomhed end dit mest værdsatte program eller din mest beskyttede intellektuelle ejendom er dit Active Directory (AD) miljø. Active Directory er central for dit netværk, system, bruger og applikationssikkerhed. Det styrer adgangskontrol for alle objekter og ressourcer inden for din computerinfrastruktur og til betydelige omkostninger i både menneskelige og hardware ressourcer, der kræves for at styre den. Og takket være tredjepartssoftwareleverandører kan du også tilføje Linux-, UNIX- og Mac OS X-systemer til AD's repertoire af administrerede ressourcer.

Håndtering af AD for mere end blot et par dusin brugere og grupper bliver meget smertefuldt. Og Microsofts grundlæggende interface og organisation er ingen hjælp til at lindre den smerte. Active Directory er ikke et svagt værktøj, men der er aspekter ved det, der lader administratorer søge efter tredjepartsværktøjer. Dette stykke udforsker ADs top administrative mangler.

1. Håndtering af nestede grupper

Tro det eller ej, der er faktisk bedste praksis forbundet med at oprette og bruge indlejrede AD-grupper. Imidlertid bør disse bedste fremgangsmåder blive tempereret af indbyggede AD-begrænsninger, så administratorer ikke har tilladelse til at udvide indlejrede grupper til mere end et enkelt niveau. Derudover vil en begrænsning for at forhindre mere end en indlejret gruppe pr. Eksisterende gruppe forhindre fremtidige husholdning og administrative problemer i at opstå.

Indlejring af flere gruppeniveauer og tilladelse af flere grupper inden for grupper skaber komplekse arveproblemer, omgår sikkerheden og ødelægger organisatoriske foranstaltninger, som gruppeledelsen var designet til at forhindre. Periodiske AD-revisioner vil give administratorer og arkitekter mulighed for at revurdere AD-organisationen og korrigere indlejrede gruppespredning.

Systemadministratorer har haft "Administrer grupper, ikke enkeltpersoner"-credo banket ind i deres hjerner i årevis, men gruppestyring fører uundgåeligt til indlejrede grupper og dårligt administrerede tilladelser. (Lær mere om Softerra Adaxes rollebaseret sikkerhed her.)

2. Skift til RBAC fra ACL'er

At skifte fra en bruger-centreret adgangskontrollister (ACL'er) AD-styringstil til den mere virksomhedsmetode til rollebaseret adgangskontrol (RBAC) virker som om det ville være en let opgave. Ikke så med AD. Det er vanskeligt at styre ACL'er, men det er heller ikke nogen gåtur i parken at skifte til RBAC. Problemet med ACL'er er, at der ikke er nogen central placering i AD til at administrere tilladelser, hvilket gør administration udfordrende og dyr. RBAC forsøger at afbøde tilladelser og adgangsfejl ved at håndtere adgangstilladelser efter rolle snarere end af individuelle, men det kommer stadig til kort på grund af manglen på centraliseret tilladelsesstyring. Men lige så smertefuldt som det at flytte til RBAC er det langt bedre end manuelt at administrere tilladelser pr. Bruger med ACL'er.

ACL'er svigter skalerbarhed og smidig håndterbarhed, fordi de er for vidtgående. Roller er alternativt mere præcise, fordi administratorer giver tilladelser baseret på brugerroller. For eksempel, hvis en ny bruger på et nyhedsagentur er en redaktør, har hun rollen som redaktør som defineret i AD. En administrator placerer denne bruger i redigeringsgruppen, der giver hende alle tilladelser og adgang, som redaktører kræver, uden at tilføje brugeren til flere andre grupper for at få tilsvarende adgang.

RBAC definerer tilladelser og begrænsninger baseret på rolle eller jobfunktion snarere end at tildele en bruger til flere grupper, der muligvis har bredere tilladelser. RBAC-roller er meget specifikke og kræver ikke reden eller andre ACL-kompleksiteter for at opnå bedre resultater, et mere sikkert miljø og en lettere styret sikkerhedsplatform.

3. Håndtering af computere

At administrere nye computere, styre computere, der er blevet afbrudt fra domænet, og forsøge at gøre noget med computerkonti, får administratorer til at gå til den nærmeste Martini-bar - til morgenmad.

Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv

Du kan ikke forbedre dine programmeringsevner, når ingen er interesseret i softwarekvalitet.

Årsagen bag en så dramatisk påstand er, at der er 11 ord, som du aldrig vil læse på en skærm som Windows-administrator: “Tillidsforholdet mellem denne arbejdsstation og det primære domæne mislykkedes.” Disse ord betyder, at du er ved at bruge flere forsøg og muligvis flere timer på at forbinde denne problematiske arbejdsstation til domænet. Det er uheldigt, at standard Microsoft-fix ikke fungerer. Standardfixen består i at nulstille computerens kontoobjekt i Active Directory, genstarte arbejdsstationen og krydse ens fingre. Andre reattachment-retsmidler er ofte lige så effektive som den standard, hvilket får administratorer til at genoptage det frakoblede system for at genoprette det til domænet.

4. Håndtering af brugerkontoklås

Der er ingen selvbetjeningsrettelse til kontoutlåsninger, selvom flere tredjepartssoftwareleverandører har løst problemet. Enten skal brugerne vente i en periode, før de prøver igen, eller for at kontakte en administrator for at nulstille den låste konto. Nulstilling af en låst konto er ikke et stresspunkt for en administrator, selvom det kan vise sig at være frustrerende for en bruger.

En af AD's mangler er, at kontoutlåninger kan stamme fra andre kilder end en bruger, der indtaster en forkert adgangskode, men AD giver ikke administratoren antydninger til denne oprindelse.

5. Permission Elevation and Permission Creep

Der er et potentiale for privilegerede brugere til at hæve deres privilegier yderligere ved at føje sig til andre grupper. Priviligerede brugere er dem, der har nogle forhøjede privilegier, men som har lige tilstrækkelig autoritet til at føje sig selv til yderligere grupper, hvilket giver dem yderligere privilegier i Active Directory. Denne sikkerhedsfejl giver en intern angriber mulighed for at tilføje privilegier på en trinvis måde, indtil der findes omfattende kontrol over et domæne, herunder muligheden for at låse andre administratorer ud. (Fjern ressourceforbrugende manuelle procedurer i Active Directory Identity Management. Lær hvordan her.)

Tilladelseskryp er en betingelse, der opstår, når administratorer ikke fjerner brugere fra en bestemt privilegiegruppe, når en brugers job ændres, eller når en bruger forlader virksomheden. Tilladelseskrypning kan give brugere adgang til virksomhedsaktiver, som brugeren ikke længere har behov for. Tilladelseshøjde og tilladelseskryp skaber begge alvorlige sikkerhedsproblemer. Der findes forskellige tredjepartsapplikationer, der kan udføre revisioner til at opdage og forhindre disse forhold.

Fra små virksomheder til globale virksomheder håndterer Active Directory brugergodkendelse, adgang til ressourcer og computerstyring. Det er en af de mest værdsatte stykker netværksinfrastruktur i erhvervslivet i dag. Et så kraftfuldt værktøj som Active Directory er, det har mange mangler. Heldigvis har ikke-Microsoft-softwareleverandører udvidet Active Directory's funktioner, løst det dårligt udtænkte design af interface til styring, konsolideret dets funktionalitet og masseret nogle af dets mere blændende mangler.

Dette indhold bringes til dig af vores partner, Adaxes.