Active Directory管理前五名痛点

作者: Louise Ward
创建日期: 5 二月 2021
更新日期: 1 七月 2024
Anonim
旁路由痛点,第二网关的按需分配 OpenWRT DHCP dnsmasq
视频: 旁路由痛点,第二网关的按需分配 OpenWRT DHCP dnsmasq

内容


资料来源:Tmcphotos / Dreamstime.com

带走:

了解可能需要第三方软件干预的AD的五个关键领域。

与您最有价值的应用程序或最受保护的知识产权相比,对于您的企业而言,甚至更重要的是您的Active Directory(AD)环境。 Active Directory对于网络,系统,用户和应用程序的安全性至关重要。它控制着计算基础架构中所有对象和资源的访问控制,并且需要花费大量人力和物力来管理访问控制。而且,借助第三方软件供应商,您还可以将Linux,UNIX和Mac OS X系统添加到AD的托管资源库中。

为数十个用户和组管理AD变得非常痛苦。微软的基本界面和组织结构无助于减轻这种痛苦。 Active Directory并不是一个弱工具,但它的某些方面使管理员无法搜索第三方工具。本文探讨了广告管理员的主要管理缺陷。

1.处理嵌套组

信不信由你,实际上有创建和使用嵌套广告组的最佳实践。但是,应通过内置的AD限制来调整这些最佳做法,以免管理员将嵌套组扩展到多个级别。此外,限制每个现有组防止一个以上的嵌套组将防止将来出现内部管理和管理问题。

嵌套多个组级别并允许组内有多个组会产生复杂的继承问题,会绕过安全性,并破坏组织管理旨在防止的组织措施。定期的AD审核将使管理员和架构师可以重新评估AD组织并更正嵌套的组蔓延。

多年来,系统管理员已经使“管理组而不是个人”信条深入人心,但是组管理不可避免地导致嵌套组和管理不善的权限。 (在此处了解有关Softerra Adaxes基于角色的安全性。)

2.从ACL切换到RBAC

从以用户为中心的访问控制列表(ACL)AD管理风格切换到基于角色的访问控制(RBAC)的更多企业方法似乎是一件容易的事。 AD并非如此。管理ACL很困难,但是切换到RBAC也不是一件容易的事。 ACL的问题在于,AD中没有中央位置来管理权限,这使管理工作变得既困难又昂贵。 RBAC尝试通过按角色而不是按个人来处理访问权限来减轻权限和访问失败,但是由于缺少集中的权限管理,它仍然不足。但是,与迁移到RBAC一样痛苦的是,这比使用ACL在每个用户的基础上手动管理权限要好得多。


由于ACL的范围太广,因此它们无法实现可伸缩性和敏捷的可管理性。另外,角色更精确,因为管理员根据用户角色授予权限。例如,如果新闻通讯社的新用户是编辑者,则她具有AD中定义的“编辑者”角色。管理员将该用户放入“编辑者”组,该用户将授予她所有“编辑者”所需的权限和访问权限,而无需将该用户添加到其他多个组中以获取等效访问权限。

RBAC根据角色或工作职能定义权限和限制,而不是将用户分配给可能具有更宽权限的多个组。 RBAC角色非常具体,不需要嵌套或其他ACL复杂性即可获得更好的结果,更安全的环境以及更易于管理的安全平台。

3.管理计算机

管理新计算机,管理与域断开连接的计算机,以及尝试使用计算机帐户进行任何操作,使得管理员希望前往最近的Martini酒吧–享用早餐。

没有错误,没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南

当没有人关心软件质量时,您就无法提高编程技能。

如此戏剧性的断言背后的原因是,作为Windows管理员,您永远不想在屏幕上阅读11个单词:“此工作站与主域之间的信任关系失败。”这些单词意味着您将要花费了多次尝试,并可能要花费数小时才能将此笨拙的工作站重新连接到域。不幸的是,标准的Microsoft修复程序无法正常工作。标准修复程序包括在Active Directory中重置计算机的帐户对象,重新启动工作站以及用手指交叉。其他重新连接补救措施通常与标准补救措施一样有效,导致管理员重新映像已断开连接的系统,以便将其重新连接到域。

4.处理用户帐户锁定

尽管有多家第三方软件供应商已解决此问题,但没有针对帐户锁定的自助服务修复程序。用户必须等待一段时间才能重试,或者与管理员联系以重置锁定的帐户。重置锁定的帐户对于管理员来说并不是压力,尽管这可能会使用户感到沮丧。

AD的缺点之一是帐户锁定可能源自用户输入错误密码以外的其他来源,但AD并未向管理员提供有关该来源的任何提示。


5.权限提升和权限蠕变

特权用户有可能通过将自己添加到其他组中来进一步提升其特权。特权用户是指具有较高特权但具有足够权限将自己添加到其他组中的用户,这将在Active Directory中向他们授予其他特权。此安全漏洞使内部攻击者可以逐步添加特权,直到对某个域进行广泛控制为止,包括能够锁定其他管理员。 (在Active Directory身份管理中消除消耗资源的手动过程。在此处了解如何。)

当用户的工作发生变化或用户离开公司时,管理员无法从特定特权组中删除用户时,会发生权限蠕变的情况。权限搜寻可以使用户访问用户不再需要的公司资产。权限提升和权限蠕变都会引起严重的安全问题。存在各种可以执行审核以检测和防止这些情况的第三方应用程序。

从小型公司到全球企业,Active Directory都可以处理用户身份验证,资源访问和计算机管理。它是当今企业中最有价值的网络基础架构之一。与Active Directory一样强大的工具也有很多缺点。幸运的是,非Microsoft软件供应商扩展了Active Directory的功能,解决了其构思不佳的管理界面设计,合并了其功能,并消除了一些更为明显的不足之处。

此内容是由我们的合作伙伴Adaxes带给您的。