Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Tymczasowe członkostwo w grupach AD

Data publikacji: 25-05-2016 Autor: Robert Stuczyński
Autor: Rys. K. Kanoniak
Rys. 1. Rezultat wywołania...
Rys. 2. Docelowa...
Rys. 3. Czas przechowywania...
Rys. 4. Wymagania odnośnie do...

Grupy to jeden z najczęściej tworzonych obiektów usługi katalogowej Active Directory. Mimo że są dość proste, ich użytkowanie może doprowadzić do dużego bałaganu. Przedstawiamy kilka praktycznych porad oraz sposobów radzenia sobie w takich sytuacjach. Prezentujemy również nową funkcję tymczasowej przynależności do grup, która zostanie udostępniona w nadchodzącym systemie Microsoft Windows Server 2016.

 

Problemy związane z grupami wynikają najczęściej z nieodpowiedniej kontroli oraz braku procedur określających sposób zarządzania tego typu obiektami. Dlatego organizacja powinna w pierwszej kolejności stworzyć odpowiednie procedury zarządzania nimi. Powinny one zostać ujęte w postaci odpowiedniej dokumentacji, ta zaś powinna jasno opisywać cały cykl życia grup – od momentu utworzenia, do ich usunięcia z katalogu. Głównym powodem stworzenia takich procedur jest uniknięcie sytuacji, w której trudne lub wręcz niemożliwe jest odpowiedzenie na pytania: kto jest odpowiedzialny za konkretną grupę, kto może dodać do niej członków, gdzie i do czego dana grupa jest używana oraz jaki był cel jej założenia.

 

Należy przyjąć, że wniosek o założenie grupy – kierowany do działu IT – musi jasno precyzować, kto będzie jej właścicielem. Tylko taka osoba będzie mogła zlecać dodawanie lub usuwanie użytkowników z grupy. Dodatkowo w takim dokumencie właściciel grupy powinien zawsze wyznaczyć swojego zastępcę. Będzie on potrzebny wtedy, gdy właściciel jest np. tymczasowo nieobecny lub w wyniku zwolnienia całkowicie opuścił firmę. Oczywiście właściciel nie musi znać żadnych szczegółów technicznych, takich jak na przykład nazwa grupy. Jest on raczej potrzebny do tego, by wskazać we właściwym wniosku zasób albo zasoby, do których należy użyć danej grupy. Resztę, na podstawie dostarczonych dokumentów, wykonuje dział IT. Postępując w ten sposób, łatwo uzyskać informacje, kto może zarządzać daną grupą i jaki był cel jej założenia.

> CZY GRUPA JEST NADAL POTRZEBNA

Przyszedł czas na najczarniejszy scenariusz, który może przydarzyć się w każdej firmie. Niestety, najgorsze jest to, że jest on często spotykany. Wyobraźmy sobie, że administrator zarządzający środowiskiem IT w danej organizacji nieoczekiwanie ją opuścił. Co gorsza, nie realizował on żadnych procedur związanych z zarządzaniem obiektami typu grupa. Może się wówczas okazać, że po otwarciu przystawki do zarządzania zobaczymy kilkaset, a może nawet kilka tysięcy grup. Jest duże ryzyko, że nie mają one żadnych opisów, a ich nazwy nie wskazują, w jakim celu grupy te zostały utworzone. Skoro nie istniały żadne procedury, to prawdopodobnie nie wiemy, kto zlecił utworzenie grup, nie mamy więc do kogo zwrócić się z pytaniem, czy dana grupa jest nadal potrzebna. W takim przypadku szwankują także prawidłowe zasady nadawania dostępu – skąd administrator ma czerpać wiedzę na temat tego, komu nadać prawa dostępu do katalogu lub pliku chronionego systemem NTFS/ReFS? Wykorzystując jakąś konkretną grupę czy też może inną? Co gorsza, nie wie on nawet, czy dana grupa jest nadal potrzebna w organizacji. Propozycja rozwiązania tej dość trudnej, zastanej sytuacji zostanie przedstawiona poniżej.


Niestety, nie ma idealnego rozwiązania, które można by było zastosować w tej sytuacji. Sam system serwerowy też nie rozpieszcza, gdyż nie oferuje żadnych narzędzi informujących administratora, do jakiego zadania grupa została stworzona oraz gdzie jest używana.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"