Die fünf wichtigsten Schmerzpunkte der Active Directory-Verwaltung

Autor: Louise Ward
Erstelldatum: 5 Februar 2021
Aktualisierungsdatum: 1 Juli 2024
Anonim
Die fünf wichtigsten Schmerzpunkte der Active Directory-Verwaltung - Technologie
Die fünf wichtigsten Schmerzpunkte der Active Directory-Verwaltung - Technologie

Inhalt


Quelle: Tmcphotos / Dreamstime.com

Wegbringen:

Lernen Sie fünf wichtige Bereiche von AD kennen, in denen möglicherweise Software von Drittanbietern eingesetzt werden muss.

Möglicherweise ist Ihre Active Directory (AD) -Umgebung für Ihr Unternehmen sogar noch wichtiger als Ihre wertvollste Anwendung oder Ihr am besten geschütztes geistiges Eigentum. Active Directory ist für die Sicherheit Ihres Netzwerks, Systems, Benutzers und Ihrer Anwendung von zentraler Bedeutung. Es regelt die Zugriffskontrolle für alle Objekte und Ressourcen in Ihrer Computerinfrastruktur und ist mit erheblichen Kosten sowohl für die Personal- als auch für die Hardwareressourcen verbunden, die für die Verwaltung erforderlich sind. Dank Software-Anbietern von Drittanbietern können Sie auch Linux-, UNIX- und Mac OS X-Systeme zu ADs Repertoire an verwalteten Ressourcen hinzufügen.

Das Verwalten von AD für mehr als nur ein paar Dutzend Benutzer und Gruppen wird sehr schmerzhaft. Und Microsofts grundlegende Benutzeroberfläche und Organisation sind keine Hilfe, um diesen Schmerz zu lindern. Active Directory ist kein schwaches Tool, aber es gibt Aspekte, die Administratoren dazu veranlassen, nach Tools von Drittanbietern zu suchen. In diesem Artikel werden die wichtigsten administrativen Mängel von AD untersucht.


1. Umgang mit verschachtelten Gruppen

Ob Sie es glauben oder nicht, es gibt tatsächlich bewährte Methoden zum Erstellen und Verwenden verschachtelter AD-Gruppen. Diese bewährten Methoden sollten jedoch durch integrierte AD-Einschränkungen beeinträchtigt werden, damit Administratoren verschachtelte Gruppen nicht auf mehr als eine Ebene ausweiten können. Darüber hinaus würde eine Einschränkung zum Verhindern von mehr als einer verschachtelten Gruppe pro vorhandener Gruppe das Auftreten zukünftiger Probleme bei der Verwaltung und Verwaltung verhindern.

Das Verschachteln mehrerer Gruppenebenen und das Zulassen mehrerer Gruppen innerhalb von Gruppen führt zu komplexen Vererbungsproblemen, umgeht die Sicherheit und ruiniert organisatorische Maßnahmen, die durch die Gruppenverwaltung verhindert werden sollen. Durch regelmäßige AD-Prüfungen können Administratoren und Architekten die AD-Organisation neu bewerten und die Verschachtelung von Gruppen korrigieren.


Systemadministratoren haben das Credo "Gruppen verwalten, nicht Einzelpersonen" seit Jahren im Kopf, aber die Gruppenverwaltung führt zwangsläufig zu verschachtelten Gruppen und schlecht verwalteten Berechtigungen. (Informationen zur rollenbasierten Sicherheit von Softerra Adaxes finden Sie hier.)

2. Wechseln von ACLs zu RBAC

Es scheint eine einfache Aufgabe zu sein, von einem AD-Verwaltungsstil für benutzerzentrierte Zugriffssteuerungslisten (ACLs) zu einer unternehmensorientierteren Methode für die rollenbasierte Zugriffssteuerung (RBAC) zu wechseln. Nicht so bei AD. Das Verwalten von ACLs ist schwierig, aber der Wechsel zu RBAC ist auch kein Kinderspiel. Das Problem mit ACLs ist, dass es in AD keinen zentralen Speicherort für die Verwaltung von Berechtigungen gibt, wodurch die Verwaltung schwierig und teuer wird. RBAC versucht, Berechtigungen und Zugriffsfehler zu verringern, indem Zugriffsberechtigungen nicht nach einzelnen Rollen, sondern nach Rollen behandelt werden. Aufgrund des Mangels an zentraler Berechtigungsverwaltung ist dies jedoch immer noch ein Mangel. Der Wechsel zu RBAC ist jedoch so schmerzhaft wie das manuelle Verwalten von Berechtigungen auf Benutzerbasis mit ACLs.

ACLs sind nicht skalierbar und lassen sich nicht flexibel verwalten, da ihr Umfang zu groß ist. Rollen sind alternativ genauer, da Administratoren Berechtigungen basierend auf Benutzerrollen erteilen. Wenn beispielsweise ein neuer Benutzer einer Nachrichtenagentur ein Redakteur ist, hat er die in AD definierte Rolle des Redakteurs. Ein Administrator ordnet diesen Benutzer der Gruppe "Bearbeiter" zu, die ihm alle Berechtigungen und Zugriffsrechte gewährt, die für die Bearbeiter erforderlich sind, ohne den Benutzer mehreren anderen Gruppen hinzuzufügen, um einen gleichwertigen Zugriff zu erhalten.

RBAC definiert Berechtigungen und Einschränkungen basierend auf der Rolle oder der Jobfunktion, anstatt einen Benutzer mehreren Gruppen zuzuweisen, die möglicherweise umfassendere Berechtigungen haben. RBAC-Rollen sind sehr spezifisch und erfordern keine Verschachtelung oder andere ACL-Komplexitäten, um bessere Ergebnisse, eine sicherere Umgebung und eine einfacher zu verwaltende Sicherheitsplattform zu erzielen.

3. Computer verwalten

Das Verwalten neuer Computer, das Verwalten von Computern, die von der Domäne getrennt wurden, und der Versuch, irgendetwas mit Computerkonten zu tun, veranlassen Administratoren, zur nächsten Martini-Bar zu gehen - zum Frühstück.

Keine Bugs, kein Stress - Ihre schrittweise Anleitung zur Erstellung lebensverändernder Software, ohne Ihr Leben zu zerstören

Sie können Ihre Programmierkenntnisse nicht verbessern, wenn sich niemand um die Softwarequalität kümmert.

Der Grund für diese dramatische Behauptung ist, dass es elf Wörter gibt, die Sie als Windows-Administrator niemals auf einem Bildschirm lesen möchten: "Die Vertrauensbeziehung zwischen dieser Arbeitsstation und der primären Domäne ist fehlgeschlagen." Verbringen Sie mehrere Versuche und möglicherweise mehrere Stunden, um diese eigensinnige Workstation wieder mit der Domäne zu verbinden. Es ist bedauerlich, dass der standardmäßige Microsoft-Fix nicht funktioniert. Die Standardkorrektur besteht darin, das Kontoobjekt des Computers in Active Directory zurückzusetzen, die Arbeitsstation neu zu starten und die Daumen zu drücken. Andere Abhilfemaßnahmen für das erneute Anschließen sind häufig genauso effektiv wie die Standardabhilfemaßnahmen, sodass Administratoren das getrennte System neu abbilden, um es wieder mit der Domäne zu verbinden.

4. Behandlung von Benutzerkontensperrungen

Es gibt keinen Self-Service-Fix für die Kontosperrung, obwohl mehrere Softwareanbieter von Drittanbietern das Problem gelöst haben. Entweder müssen Benutzer eine Weile warten, bevor sie es erneut versuchen, oder sie müssen sich an einen Administrator wenden, um das gesperrte Konto zurückzusetzen. Das Zurücksetzen eines gesperrten Kontos ist für einen Administrator kein Stressfaktor, obwohl es sich für einen Benutzer als frustrierend erweisen kann.

Einer der Nachteile von AD besteht darin, dass Kontosperrungen von anderen Quellen stammen können als von einem Benutzer, der ein falsches Kennwort eingibt. AD gibt dem Administrator jedoch keine Hinweise zu dieser Herkunft.

5. Permission Elevation und Permission Creep

Es besteht die Möglichkeit, dass privilegierte Benutzer ihre Privilegien weiter erhöhen, indem sie sich anderen Gruppen hinzufügen. Als privilegierte Benutzer gelten Benutzer mit erhöhten Rechten, die jedoch nur über ausreichende Berechtigungen verfügen, um sich zusätzlichen Gruppen hinzuzufügen, wodurch sie zusätzliche Rechte in Active Directory erhalten. Durch diese Sicherheitslücke kann ein interner Angreifer schrittweise Berechtigungen hinzufügen, bis eine umfassende Kontrolle über eine Domäne besteht, einschließlich der Möglichkeit, andere Administratoren auszusperren. (Vermeiden Sie ressourcenintensive manuelle Vorgänge in Active Directory Identity Management. Erfahren Sie hier, wie Sie vorgehen müssen.)

Berechtigungsschleich ist eine Bedingung, die auftritt, wenn Administratoren Benutzer nicht aus einer bestimmten Berechtigungsgruppe entfernen können, wenn der Job eines Benutzers geändert wird oder wenn ein Benutzer das Unternehmen verlässt. Berechtigungsschleich kann Benutzern den Zugriff auf Unternehmensressourcen ermöglichen, für die der Benutzer keinen Bedarf mehr hat. Sowohl die Erhöhung der Berechtigungen als auch das Schleichen der Berechtigungen verursachen schwerwiegende Sicherheitsbedenken. Es gibt verschiedene Anwendungen von Drittanbietern, die Audits durchführen können, um diese Bedingungen zu erkennen und zu verhindern.

Active Directory verwaltet die Benutzerauthentifizierung, den Zugriff auf Ressourcen und die Computerverwaltung, von kleinen Unternehmen bis hin zu globalen Unternehmen. Es ist eines der wertvollsten Teile der Netzwerkinfrastruktur in der heutigen Geschäftswelt. So leistungsfähig ein Tool wie Active Directory ist, es weist viele Mängel auf. Glücklicherweise haben Softwareanbieter von Drittanbietern die Funktionen von Active Directory erweitert, das schlecht durchdachte Design der Verwaltungsoberfläche behoben, die Funktionalität konsolidiert und einige der auffälligeren Unzulänglichkeiten behoben.

Diese Inhalte werden Ihnen von unserem Partner Adaxes zur Verfügung gestellt.