Садржај
- 1. Суочавање са угнијеженим групама
- 2. Прелазак на РБАЦ са АЦЛ-а
- 3. Управљање рачунаром
- Без грешака, без стреса - Ваш корак по корак водич за креирање софтвера за промену живота без да вам уништи живот
- 4. Руковање закључавањем корисничких налога
- 5. Повишење дозволе и пузање дозволе
Извор: Тмцпхотос / Дреамстиме.цом
Одузети:
Научите пет кључних подручја АД-а за које би могла бити потребна софтверска интервенција треће стране.
Вероватно је можда још важније за ваше предузеће од ваше најцењеније апликације или вашег заштићеног интелектуалног власништва окружење Ацтиве Дирецтори (АД). Ацтиве Дирецтори је централни за сигурност ваше мреже, система, корисника и апликација. Управља контролом приступа за све објекте и ресурсе у вашој рачунарској инфраструктури и уз знатне трошкове, како у људским тако и у хардверским ресурсима потребним за управљање њима. Захваљујући независним добављачима софтвера, можете додати и Линук, УНИКС и Мац ОС Кс системе у АД-ов репертоар управљаних ресурса.Управљање АД-ом за више од неколико десетина корисника и група постаје веома болно. А Мицрософтс основно сучеље и организација не помажу у ублажавању те боли. Ацтиве Дирецтори није слаб алат, али постоје његови аспекти због којих администратори траже алате треће стране. Овај део истражује главне административне недостатке АД-а.
1. Суочавање са угнијеженим групама
Вјеровали или не, заправо постоје најбоље праксе повезане са стварањем и употребом угнијежђених АД група. Међутим, те најбоље праксе требало би да буду ублажене уграђеним АД ограничењима, тако да администраторима није дозвољено да шире угнежђене групе на више од једног нивоа. Поред тога, ограничење за спречавање више гнездећих група по постојећој групи спречило би будуће проблеме око домаћинства и административне проблеме.
Уметање више нивоа групе и омогућавање више група унутар група ствара сложене наслеђене проблеме, заобилази безбедност и уништава организационе мере које је управљање групама осмишљено да спрече. Периодичне ревизије АД ће омогућити администраторима и архитектима да поново преиспитају организацију АД и исправе исправно угнијежђено ширење групе.
Системски администратори су годинама имали кредо у мозгу који им је управљао групама, а не појединци, али управљање групама неминовно доводи до угнијежђених група и слабо управљаних дозвола. (Овде научите о безбедности заснованој на улози Софтерра Адакес.)
2. Прелазак на РБАЦ са АЦЛ-а
Прелазак са корисничких усредсређених листа приступа приступу (АЦЛс) АД начина управљања на више корпоративни метод контроле приступа на основу улога (РБАЦ) чини се да би то био лак задатак. Није тако са АД-ом. Тешко је управљати АЦЛ-овима, али прелазак на РБАЦ није ни шетња парком. Проблем са АЦЛ-овима је што не постоји централна локација у АД-у за управљање дозволама, што администрацију чини изазовном и скупом. РБАЦ покушава ублажити дозволе и кварове на приступу руковањем дозволама за приступ по улози, а не по појединцу, али и даље недостаје због недостатка централизованог управљања дозволама. Али, колико год било болно као прелазак на РБАЦ, много је боље од ручног управљања дозволама за корисника по АЦЛ-у.
АЦЛ пропуштају скалабилност и агилну управљивост јер су превише широки по обиму. Улоге су, прецизније, прецизније јер администратори дају дозволе на основу улога корисника. На пример, ако је нови корисник новинске агенције уредник, она има улогу уређивача како је дефинисано у АД-у. Администратор смешта тог корисника у групу за уређивање која јој даје сва дозвола и приступ који уређивачи захтевају без додавања корисника у више других група да би добили еквивалентан приступ.
РБАЦ дефинише дозволе и ограничења на основу улоге или функције посла, уместо да додељује корисника више група које могу имати шире дозволе. Улоге РБАЦ-а су врло специфичне и не захтевају гнежђење или друге АЦЛ сложености ради постизања бољих резултата, сигурнијег окружења и лакше управљане безбедносне платформе.
3. Управљање рачунаром
Управљање новим рачунаром, управљање рачунаром који је искључен са домена и покушавање било чега да ураде са рачунарским рачунима чине да администратори желе да се упуте у најближи Мартини бар - на доручак.
Без грешака, без стреса - Ваш корак по корак водич за креирање софтвера за промену живота без да вам уништи живот
Не можете побољшати своје вештине програмирања када никога није брига за квалитет софтвера.
Разлог за тако драматичну тврдњу је да постоји 11 речи које никад не желите да прочитате на екрану као Виндовс Администратор: „Веза поверења између ове радне станице и примарног домена није успела.“ Ове речи значе да ћете ускоро потрошити више покушаја и евентуално више сати поново повезујући ову растућу радну станицу са доменом. Жао нам је што стандардни Мицрософтов поправак не функционише. Стандардна исправка састоји се од ресетовања објекта рачунарског рачуна у Ацтиве Дирецтори, поновног покретања радне станице и преласка прстију. Други лијекови за поновно прикључивање често су једнако ефикасни као и стандардни који узрокују да администратори поново додају искључени систем како би га поново повезали с доменом.
4. Руковање закључавањем корисничких налога
Не постоје исправке за самопослуживање за блокирање рачуна, мада је неколико произвођача независног софтвера решило проблем. Корисници морају да сачекају временски период пре поновног покушаја или да се обрате администратору да ресетује закључани налог. Поништавање закључаног налога није стрес за администратора, мада то може показати фрустрирајуће за корисника.
Један од недостатака АД-а је то што закључавања налога могу да потичу из извора осим корисника који уноси погрешну лозинку, али АД не даје администратору никакве наговештаје о том пореклу.
5. Повишење дозволе и пузање дозволе
Привилеговани корисници могу додатно повећати своје привилегије додавањем себе другим групама. Привилеговани корисници су они који имају неке повишене привилегије, али имају довољно ауторитета да се додају у додатне групе, што им даје додатне привилегије у Ацтиве Дирецтори-у. Ова безбедносна грешка омогућава унутрашњем нападачу да поступно додаје привилегије све док не постоји опсежна контрола над доменом, укључујући могућност закључавања других администратора. (Уклоните ручне поступке који троше ресурсе у Ацтиве Дирецтори Идентити Манагемент. Сазнајте како овде.)
Пузање дозвола је услов који настаје када администратори не успеју да уклоне кориснике из одређене привилеговане групе када се промени посао корисника или када корисник напусти компанију. Пузање дозвола може корисницима омогућити приступ корпоративним средствима за која корисник више нема потребе. Повишење дозволе и пузање дозвола стварају озбиљне сигурносне проблеме. Постоје разне апликације трећих страна које могу вршити ревизије ради откривања и спречавања ових услова.
Од малих компанија до глобалних предузећа, Ацтиве Дирецтори се бави аутентификацијом корисника, приступ ресурсима и рачунарским управљањем. То је један од најцењенијих дијелова мрежне инфраструктуре у пословању данас. Колико је моћан алат као што је Ацтиве Дирецтори, има много недостатака. Срећом, добављачи софтвера који нису Мицрософтови проширили су функције активног директорија, решили његов лоше осмишљен дизајн интерфејса за управљање, консолидовали његову функционалност и масирали неке од његових већих недостатака.
Овај садржај вам доноси наш партнер, Адакес.
