Conţinut
- 1. Tratarea grupurilor cuiburi
- 2. Trecerea la RBAC de la ACL
- 3. Gestionarea calculatoarelor
- Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de programe care schimbă viața fără a vă distruge viața
- 4. Manevrarea blocajelor contului de utilizator
- 5. Creșterea permisiunii și fluajul permisiunii
Sursa: Tmcphotos / Dreamstime.com
La pachet:
Aflați cinci domenii cheie ale AD care ar putea necesita o intervenție software terță parte.
Este foarte posibil și mai critic pentru întreprinderea dvs. decât aplicația dvs. cea mai apreciată sau cea mai protejată proprietate intelectuală este mediul dvs. Active Directory (AD). Active Directory este esențial pentru securitatea rețelei, sistemului, utilizatorului și aplicației. Acesta guvernează controlul accesului pentru toate obiectele și resursele din infrastructura de calcul și la costuri considerabile atât pentru resursele umane, cât și pentru cele hardware necesare gestionării acesteia. Și datorită furnizorilor de software terți, puteți adăuga, de asemenea, sisteme Linux, UNIX și Mac OS X în repertoriul resurselor gestionate de AD.Administrarea AD pentru mai mult de doar câteva zeci de utilizatori și grupuri devine foarte dureroasă. Iar interfața și organizarea de bază Microsofts nu ajută la ameliorarea durerii. Active Directory nu este un instrument slab, dar există aspecte ale acestuia care lasă administratorii să caute unelte terțe. Această piesă analizează deficiențele administrative de top ale AD.
1. Tratarea grupurilor cuiburi
Credeți sau nu, există de fapt cele mai bune practici asociate cu crearea și utilizarea grupurilor AD cuiburi. Cu toate acestea, aceste bune practici ar trebui să fie temperete de restricții AD încorporate, astfel încât administratorii să nu poată extinde grupurile cuiburi la mai mult de un singur nivel. În plus, o restricție pentru a preveni mai mult de un grup cuibărit pentru fiecare grup existent ar împiedica apariția viitoarelor probleme de menaj și administrative.
Cuibăritul mai multor niveluri de grup și permițarea mai multor grupuri în cadrul grupurilor creează probleme complexe de moștenire, ocolește măsurile de securitate și de ruină, pe care managementul grupului a fost conceput să le prevină. Auditurile periodice ale AD vor permite administratorilor și arhitecților să reevalueze organizarea AD și să corecteze extinderea grupului cuibărit.
Administratorii de sistem au credozul „Gestionează grupurile, nu persoanele” de ani buni în creierul lor, dar conducerea grupurilor duce inevitabil la grupuri cuibărite și permisiuni slab gestionate. (Aflați mai multe despre securitatea bazată pe roluri Softerra Adax.)
2. Trecerea la RBAC de la ACL
Trecerea de la o listă de control AD a centrelor de acces (ACL) centrată pe utilizator la metoda de control a accesului bazată pe rol (RBAC), pare a fi o sarcină ușoară. Nu-i așa cu AD. Gestionarea ACL-urilor este dificilă, dar trecerea la RBAC nu este nici o plimbare în parc. Problema cu ACL-urile este că nu există o locație centrală în AD care să gestioneze permisiunile, ceea ce face ca administrarea să fie dificilă și costisitoare. RBAC încearcă să atenueze autorizațiile și eșecurile de acces prin gestionarea permisiunilor de acces în funcție de rol, mai degrabă decât de individ, dar rămâne în scurt timp din cauza lipsei gestionării centralizate a autorizațiilor. Dar, oricât de dureros este trecerea la RBAC, este mult mai bine decât să gestionați manual permisiunile în fiecare utilizator cu ACL-uri.
ACL-urile nu reușesc scalabilitatea și manevrabilitatea agilă, deoarece acestea sunt prea ample. Rolul, alternativ, este mai precis, deoarece administratorii acordă permisiuni în funcție de rolurile utilizatorului. De exemplu, dacă un utilizator nou la o agenție de știri este un editor, atunci ea are rolul de Editor așa cum este definit în AD. Un administrator îl plasează pe acel utilizator în grupul de editori care îi acordă toate permisiunile și accesul pe care editorii le solicită, fără a adăuga utilizatorul în mai multe alte grupuri pentru a obține acces echivalent.
RBAC definește permisiunile și restricțiile bazate pe rolul sau funcția de lucru, mai degrabă decât să atribuie un utilizator mai multor grupuri care ar putea avea permisiuni mai largi. Rolurile RBAC sunt foarte specifice și nu necesită cuibărire sau alte complexități ACL pentru a obține rezultate mai bune, un mediu mai sigur și o platformă de securitate mai ușor de gestionat.
3. Gestionarea calculatoarelor
Gestionarea calculatoarelor noi, gestionarea calculatoarelor care au fost deconectate de la domeniu și încercarea de a face orice cu conturile computerului îi face pe administratorii să dorească să se îndrepte către cel mai apropiat bar Martini - pentru micul dejun.
Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de programe care schimbă viața fără a vă distruge viața
Nu îți poți îmbunătăți abilitățile de programare atunci când nimeni nu îi pasă de calitatea software-ului.
Motivul din spatele unei astfel de afirmații dramatice este că există 11 cuvinte pe care nu vreți să le citiți niciodată pe ecran ca administrator de Windows: „Relația de încredere dintre această stație de lucru și domeniul principal a eșuat”. Aceste cuvinte înseamnă că sunteți pe punctul de a petreceți mai multe încercări și eventual mai multe ore reconectând această stație de lucru directă la domeniu. Este regretabil că soluția standard Microsoft nu funcționează. Corecția standard constă în resetarea obiectului contului computerului în Active Directory, repornirea postului de lucru și încrucișarea degetelor. Alte remedii de reîncărcare sunt adesea la fel de eficiente ca cele standard, ceea ce face ca administratorii să reimagineze sistemul deconectat pentru a-l reconecta la domeniu.
4. Manevrarea blocajelor contului de utilizator
Nu există o soluție de autoservire pentru blocarea contului, deși mai mulți furnizori de software terți au rezolvat problema. Fiecare utilizator trebuie să aștepte o perioadă de timp înainte de a încerca din nou sau de a contacta un administrator pentru a reseta contul blocat. Resetarea unui cont blocat nu este un punct de stres pentru un administrator, deși se poate dovedi frustrant pentru un utilizator.
Una dintre deficiențele AD este aceea că blocarea conturilor poate provoca din surse, altele decât un utilizator care introduce o parolă incorectă, dar AD nu oferă administratorului indicii cu privire la originea respectivă.
5. Creșterea permisiunii și fluajul permisiunii
Este posibil ca utilizatorii privilegiați să își ridice în continuare privilegiile adăugându-se la alte grupuri. Utilizatorii privilegiați sunt cei care au anumite privilegii crescute, dar care au suficientă autoritate pentru a se adăuga la grupuri suplimentare, ceea ce le acordă privilegii suplimentare în Active Directory. Acest defect de securitate permite unui atacator intern să adauge privilegii într-o manieră treptată până când există un control extins asupra unui domeniu, inclusiv posibilitatea de a bloca alți administratori. (Eliminați procedurile manuale care consumă resurse în Active Directory Identity Management. Aflați cum este aici.)
Creep-ul de permis este o condiție care apare atunci când administratorii nu reușesc să elimine utilizatorii dintr-un anumit grup de privilegii atunci când se schimbă jobul unui utilizator sau când un utilizator părăsește compania. Permisul de permisiune permite utilizatorilor să acceseze active corporative pentru care utilizatorul nu mai are nevoie. Creșterea permiselor și creșterea permisiunilor creează probleme serioase de securitate. Există diferite aplicații terțe care pot efectua audituri pentru a detecta și a preveni aceste condiții.
De la companii mici la întreprinderi globale, Active Directory se ocupă cu autentificarea utilizatorului, accesul la resurse și gestionarea computerului. Este una dintre cele mai apreciate piese de infrastructură de rețea în afaceri astăzi. La fel de puternic ca un instrument Active Directory, acesta are multe neajunsuri. Din fericire, furnizorii de software non-Microsoft au extins funcțiile Active Directory, au rezolvat design-ul de interfață de gestiune prost conceput, și-au consolidat funcționalitatea și au masat unele dintre inadvertențele sale mai evidente.
Acest conținut este adus de dvs. de către partenerul nostru, Adax.
