Identificando certas contas do Active Directory como "IsHuman"

Navegue suas respostas
2

Gostaria de sinalizar algumas contas do Active Directory para indicar que elas representam pessoas físicas e individuais em oposição a grupos, contas de serviço, contas internas, etc. Isso pode ser feito por meio de um atributo personalizado ou interno, grupo , etc.

Idealmente, a solução seria:

  • Facilite a adição do atributo a várias contas de uma só vez
  • Não precisa ser adicionado a todas as contas
  • Forneça algumas indicações (visual, etc.) que talvez precisem ser definidas na criação da conta
por mwolfe02 11.05.2016 / 18:21

3 respostas

5

Os grupos são um tipo diferente de objeto dos usuários, portanto, diferenciá-los já é possível, até mesmo fácil. Normalmente, as contas internas são deixadas no contêiner Usuários, enquanto as contas de usuário e as contas de serviço são geralmente classificadas em unidades organizacionais separadas, no contêiner Usuários ou fora do contêiner Usuários. De qualquer forma, classificar por UO seria uma indicação visual na GUI e também facilmente pesquisável e classificável por outros aplicativos, comandos do powershell, pesquisas, etc.

Portanto, basta classificar seus usuários em diferentes UOs por tipo de usuário. Você também pode querer criar uma árvore de UO para classificar usuários humanos de maneira mais granular, por exemplo, você poderia classificá-los por departamento em UOs de departamento separadas. Ou você pode classificá-los pelo local do escritório ou o que for mais apropriado para os negócios. Dessa forma, você tem várias maneiras de diferenciar usuários com diferentes necessidades.

Eu também gosto de classificar todos os grupos em UOs. Ou faço uma UO de grupos e classifico todos os grupos dentro dela e até mesmo crie uma estrutura de árvore de UO para diferenciar grupos de usuários de grupos de recursos de grupos de distribuição ou incluo os grupos próximos aos usuários nas UOs de usuários apropriadas.

Se você não estiver classificando inteligentemente seus objetos do AD em UOs, estará perdendo um recurso importante do Active Directory.

Além de usar UOs, você pode (realmente deve) aproveitar a associação ao grupo. Normalmente, há motivos para criar um ou mais grupos de usuários e de distribuição que incluem toda a equipe humana de uma organização, mas não incluem contas integradas ou de serviço. Você também pode criar uma distribuição e / ou grupo de usuários para todas as contas de serviço (você pode atribuir direitos apropriados para contas de serviço a grupos). Um grupo de distribuição destina-se a classificar os usuários praticamente para nenhuma outra finalidade (especialmente se você não trocar), por isso é um mecanismo ideal para agrupar contas para várias finalidades.

Se você fizer possuir o Exchange, terá todos os tipos de extensões de esquema adicionadas ao Active Directory que você pode usar para diferenciar entre caixas de correio de usuários e compartilhadas, etc.

Por fim, em relação às contas de serviço, você pode pensar um pouco no escopo exigido por suas várias contas de serviço. Se você tiver um serviço que precise de uma conta personalizada, mas não precise acessar nenhum recurso de rede, poderá simplesmente criar uma conta local para esse serviço e conceder-lhe os direitos necessários na máquina local. Essa é uma conta de serviço a menos que atravessa o seu anúncio.

    
por 11.05.2016 / 18:32
3

Além da excelente resposta de @Todd Wilcox , gostaria de acrescentar a ideia de uma convenção de nomenclatura para os objetos no AD.

Certos aspectos dos "atributos" que você deseja criar para os usuários / grupos podem ser inerentemente aplicados com uma convenção de nomenclatura muito strong para objetos e infraestrutura, e não se desviando dele .

Usuários
Os nomes de usuários regulares devem ser <FirstName>.<LastName> ou <lastName><FirstInitial> , enquanto os nomes para exibição devem ser <LastName>, <FirstName> (<Department>) . Ou o que quer que funcione para sua empresa. De qualquer maneira, elas devem ser reproduzíveis e formatadas de forma que, se você souber de um determinado elemento para um usuário, saiba como descobrir mais sobre elas, porque você sabe o que procurar. 

Real Name       Department      Display name        User Name
John Doe        IT              Doe, John (IT)      John.Doe
Jane Doe        Finance         Doe, Jane (FIN)     Jane.Doe
James Doe       Human Resources Doe, James (HR)     James.Doe

As contas de serviço também devem seguir uma convenção padrão, mas diferente que a dos usuários regulares. Isso também se aplica a contas "compartilhadas", mas eu ficaria longe delas de qualquer maneira. Meu formato preferido é sa.<vendor>.<product> , então é bem fácil agrupá-los e encontrá-los para reutilização posterior. 

Vendor      Product                 Display Name                        Username
VMware      vSphere                 (SA) VMware - vSphere               sa.vmware.vsphere
Microsoft   SQL Server              (SA) Microsoft - SQL Server         sa.microsoft.sqlserver
Microsoft   Exchange                (SA) Microsoft - Exchange           sa.microsoft.exchange
IBM         Tivoli Storage Manager  (SA) IBM - Tivoli Storage Manager   sa.ibm.tsm

Grupos
Os grupos de segurança devem ser nomeados com base no que estão fazendo e no que eles aplicam, mas novamente seguindo um padrão padrão para que grupos propostos semelhantes possam ser facilmente encontrados.

Os compartilhamentos de arquivos podem ser nomeados pelo nome do compartilhamento e as permissões que eles concedem, enquanto o servidor / caminho para esse compartilhamento é encontrado na Descrição ( SHR_<ShareName>_R para leitura, SHR_<ShareName>_M para modificação).

Grupos de acesso de Caixa de Correio genéricos, podem conter o nome da caixa de correio e os direitos ( GM_<SMTPAddress>_FMR para acesso total, GM_<SMTPAddress>_SA para Enviar como).

AD / server Delagation groups pode ser o nome da equipe ( DLG AD DevOps) , DLG SRV BackupAndStorage , etc.)

As listas de distribuição são as únicas estranhas, pois provavelmente serão nomeadas mais ou menos o que for necessário porque as pessoas vão querer isso. Mas, mesmo assim, você pode configurar padrões para eles que funcionem para sua organização.

    
por 11.05.2016 / 21:19
2

A maioria dos ambientes em que trabalhei não faz isso com atributos nas contas. Eles fazem isso por meio da organização OU e / ou padrões de nomenclatura. Um exemplo simplificado pode ser:

  • (raiz do domínio)
    • Todas as contas
      • Humanos
      • Contas compartilhadas
      • Contas de serviço

Você pode subdividir os diferentes tipos de conta, se isso fizer sentido. Mas na maior parte do tempo, as afiliações em grupo são tudo o que você precisa para dividir ainda mais ... grupos ... de pessoas. Adicionar um prefixo / sufixo padrão a tipos de conta não humanos também pode facilitar a visualização e o gerenciamento. Por exemplo, todas as contas de serviço podem começar com "svc".

    
por 11.05.2016 / 18:34

Tags

Avisos de falha de segmentação do servidor da web Linux / apache Chamadas fantasmas de asterisco