Active Directory

2

Se eu tiver uma situação em que haja uso inadequado de grupos de segurança e de distribuição contra compartilhamentos de arquivos e permissões muito liberais, qual seria a melhor maneira de lidar com isso?

Existem ferramentas reconhecidas do setor que eu poderia usar para limpar objetos inativos / remanescentes / não utilizados e gerenciar permissões de maneira mais eficiente? Eu gostaria de algumas sugestões.

Existe algo como um documento de controle do Active Directory? Quaisquer links muito apreciados.

Eu tenho muitos grupos aninhados, com até quatro níveis de profundidade, o que eu faço sobre isso?

Por fim, tenho muitas políticas de grupo no AD. Existem outros métodos de entrega de aplicativos disponíveis?

    
por 02weezy 15.03.2013 / 16:40

1 resposta

1

Não. Em todos os aspectos, realmente.

Um grande e bem conhecido multi-nacional onde eu moro, por exemplo, tem mais de 25.000 GPOs. Portanto, embora você possa pensar que possui muitos GPOs e muita complexidade (e talvez você também), isso não é um problema realmente solucionável. Organizações grandes e complexas com relacionamentos complexos têm diretórios grandes e complexos. Não há maneira de contornar isso.

A única solução real é o design, a aplicação e a administração adequados da sua estrutura de AD ... o que também não é uma tarefa fácil, ou algo que pode ser resolvido com "algumas ferramentas". E, novamente, mesmo com as políticas e políticas adequadas, você terminará com um AD relativamente grande e complicado. É apenas a natureza deste tipo de dados - há muito disso, e ele rastreia muitos relacionamentos e dependências, então é complexo. Natureza da besta.

Seu primeiro objetivo é decidir como você deseja organizar / projetar sua estrutura e hierarquias do AD, o que é um projeto por si só.

Depois de resolver isso, você deve passar para o relatório em seu ambiente atual, o que também não é uma tarefa trivial. Existem inúmeras ferramentas para isso, incluindo scripts antigos simples para consultar e buscar dados em LDAP, bem como ferramentas de terceiros. O Windows da Quest e as Ferramentas de Relatórios do Active Directory provavelmente seriam seu "padrão do setor" sobre o qual você pergunta, mas eles são caros, e não uma bala de prata por qualquer trecho. Por exemplo, uma reformulação da AD que fiz para uma empresa de aproximadamente 1.000 funcionários, o relatório de permissões de arquivos em seus servidores de arquivos gerou planilhas do Excel com mais de um quarto de milhão de linhas.

Depois de descobrir onde você quer estar e onde está agora, é preciso planejar um jeito de chegar lá. E, claro, isso tem que ser feito enquanto o ambiente está em execução, porque você não pode muito bem deixar o AD off-line por alguns meses enquanto você resolve as coisas. É importante notar que isso geralmente resulta na percepção de que é mais fácil e melhor defender um novo domínio ou floresta para o qual você "migra" o ambiente existente.

Finalmente, depois de ter feito tudo isso, é imperativo aplicar políticas e procedimentos e aplicados para proteger a estrutura e a organização do novo e / ou AD limpo, caso contrário você estará de volta na mesma bagunça que você começou, em nenhum momento.

Muito trabalho.

Dependendo do tamanho e do grau de desorganização do seu ambiente de AD, é melhor você apenas documentar seu ambiente de AD, abordar o assunto mais simples e implementar políticas ao limpar uma determinada área. Por exemplo, limpar membros do grupo removendo ex-funcionários e grupos em branco e implementar um procedimento em torno de separações de funcionários, como "execute o script a seguir para determinar associações a grupos e remover o antigo funcionário de todos os grupos".

mas de qualquer forma você chega lá, não há nenhuma ferramenta para fazer isso para você, e isso vai exigir um pouco de esforço para realizar.

    
por 15.03.2013 / 17:04