Nilalaman
- 1. Pakikipag-ugnay sa Nested Grupo
- 2. Ang paglipat sa RBAC mula sa mga ACL
- 3. Pamamahala ng Mga Computer
- Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay
- 4. Paghahawak ng Account ng Lockout ng Gumagamit
- 5. Pahintulot sa Elevation at Pahintulot na kilabot
Pinagmulan: Tmcphotos / Dreamstime.com
Takeaway:
Alamin ang limang pangunahing lugar ng AD na maaaring mangailangan ng interbensyon ng software ng third-party.
Marahil marahil mas kritikal sa iyong negosyo kaysa sa iyong pinapahalagahan na aplikasyon o ang iyong pinoprotektahang intelektwal na pag-aari ay ang iyong Aktibong Directory (AD) na kapaligiran. Ang Aktibong Directory ay sentro sa iyong network, system, user at security security. Pinamamahalaan nito ang control control para sa lahat ng mga bagay at mapagkukunan sa loob ng iyong imprastruktura sa computing at sa malaking gastos sa parehong tao at sa mga mapagkukunan ng hardware na kinakailangan upang pamahalaan ito. At salamat sa mga vendor ng software ng third-party, maaari mo ring idagdag ang mga sistema ng Linux, UNIX at Mac OS X sa repertoire ng AD ng mga pinamamahalaang mapagkukunan.Ang pamamahala ng AD para sa higit sa ilang dosenang mga gumagamit at grupo ay nagiging masakit. At ang pangunahing interface at organisasyon ng Microsofts ay walang tulong upang mapawi ang sakit na iyon. Ang Aktibong Direktoryo ay hindi isang mahina na tool, ngunit may mga aspeto nito na nag-iiwan ng mga administrador na naghahanap para sa mga tool ng third-party. Ang piraso na ito ay ginalugad ang mga nangungunang mga pagkukulang sa pangangasiwa.
1. Pakikipag-ugnay sa Nested Grupo
Paniwalaan mo o hindi, may mga tunay na pinakamahusay na kasanayan na nauugnay sa paglikha at paggamit ng mga nested AD na pangkat. Gayunpaman, ang mga pinakamahusay na kasanayan ay dapat na mapasuko ng mga built-in na mga paghihigpit ng AD, upang ang mga administrador ay hindi pinahihintulutan na pahabain ang mga nested na mga grupo sa higit sa isang antas. Bilang karagdagan, ang isang paghihigpit upang maiwasan ang higit sa isang nested na grupo sa bawat umiiral na grupo ay maiiwasan ang darating na mga pag-aalaga sa bahay at mga problema sa administratibo.
Ang pagtatago ng maraming mga antas ng pangkat at pinapayagan ang maraming mga grupo sa loob ng mga grupo ay lumilikha ng mga kumplikadong problema sa mana, sa pamamagitan ng seguridad at mga pagkasira ng mga hakbang sa organisasyon na dinisenyo upang mapigilan ang pangkat. Pinahihintulutan ng mga pana-panahong AD ng pag-audit ang mga administrador at arkitekto na muling maipasok ang organisasyon ng AD at iwasto ang nested na sprawl ng grupo.
Ang mga tagapangasiwa ng system ay nagkaroon ng "Pamahalaan ang mga grupo, hindi mga indibidwal" na pinalo sa kanilang talino sa loob ng maraming taon, ngunit ang pamamahala ng pangkat ay hindi maiiwasang humantong sa mga nested na mga grupo at hindi pinangasiwaan ang mga pahintulot. (Alamin ang tungkol sa seguridad na batay sa Softerra Adaxes dito.)
2. Ang paglipat sa RBAC mula sa mga ACL
Ang paglipat sa layo mula sa isang listahan ng kontrol sa pag-access ng gumagamit (ACL) AD estilo ng pamamahala sa mas maraming pamamaraan ng enterprise ng pag-access sa control (RBAC) na tila batay sa isang madaling gawain. Hindi ganoon sa AD. Ang pamamahala sa mga ACL ay mahirap, ngunit ang paglipat sa RBAC ay walang lakad sa parke. Ang problema sa ACLs ay walang gitnang lokasyon sa AD upang pamahalaan ang mga pahintulot, na ginagawang hamon at mahal ang administrasyon. Sinusubukan ng RBAC na mapawi ang mga pahintulot at pag-access ng mga pagkabigo sa pamamagitan ng paghawak ng mga pahintulot sa pag-access sa pamamagitan ng papel sa halip na sa pamamagitan ng indibidwal, ngunit nahuhulog pa rin ito dahil sa kakulangan ng sentralisadong pamamahala ng pahintulot. Ngunit, tulad ng masakit sa paglipat sa RBAC, mas mahusay ito kaysa manu-manong pamamahala ng mga pahintulot sa isang per-gumagamit na batayan kasama ang mga ACL.
Ang mga ACL ay nabigo sa scalability at maliksi namamahala dahil ang mga ito ay masyadong malawak sa saklaw. Ang mga tungkulin, bilang kahalili, ay mas tumpak dahil ang mga tagapangasiwa ay nagbibigay ng mga pahintulot batay sa mga tungkulin ng gumagamit. Halimbawa, kung ang isang bagong gumagamit sa isang ahensya ng balita ay isang editor, pagkatapos ay mayroon siyang papel ng Editor tulad ng tinukoy sa AD. Inilalagay ng isang tagapangasiwa ang gumagamit sa Editors Group na nagbibigay sa kanya ng lahat ng mga pahintulot at pag-access na hinihiling ng mga editor nang hindi idinagdag ang gumagamit sa maraming iba pang mga grupo upang makakuha ng katumbas na pag-access.
Tinutukoy ng RBAC ang mga pahintulot at paghihigpit batay sa papel na ginagampanan o tungkulin sa trabaho sa halip na magtalaga ng isang gumagamit sa maraming mga grupo na maaaring magkaroon ng mas malawak na pahintulot. Ang mga tungkulin ng RBAC ay napaka-tiyak at hindi nangangailangan ng pugad o iba pang mga kumplikadong ACL upang makamit ang mas mahusay na mga resulta, isang mas ligtas na kapaligiran, at isang mas madaling pinamamahalaang platform ng seguridad.
3. Pamamahala ng Mga Computer
Ang pamamahala ng mga bagong computer, pamamahala ng mga computer na naging naka-disconnect mula sa domain, at sinusubukan na gawin ang anumang bagay sa mga account sa computer ay nais ng mga administrator na magtungo sa pinakamalapit na Martini bar - para sa agahan.
Walang Mga bug, Walang Stress - Ang Iyong Hakbang sa Hakbang Patnubay sa Paglikha ng Software na Pagbabago ng Buhay nang Walang Pagsira sa Iyong Buhay
Hindi mo maaaring mapabuti ang iyong mga kasanayan sa pag-programming kapag walang nagmamalasakit sa kalidad ng software.
Ang kadahilanan sa likod ng napakalaking pagsingit na ito ay may 11 salita na hindi mo nais na basahin sa isang screen bilang isang Windows Administrator: "Nabigo ang tiwala sa pagitan ng workstation na ito at ang pangunahing domain." Ang mga salitang ito ay nangangahulugang malapit ka na gumastos ng maraming mga pagtatangka at marahil ng maraming oras na muling pagkakaugnay sa ito pabalik na workstation sa domain. Sa kasamaang palad hindi gumana ang karaniwang Microsoft fix. Ang karaniwang pag-aayos ay binubuo ng pag-reset ng object ng account ng computer sa Aktibong Direktoryo, pag-reboot ng workstation, at pagtawid sa mga daliri ng isa. Ang iba pang mga remedyo sa reattachment ay madalas na kasing epektibo ng pamantayan, na nagiging sanhi ng muling pagdiskarga ng mga administrador sa sistema ng pagkakakonekta upang maiugnay muli ito sa domain.
4. Paghahawak ng Account ng Lockout ng Gumagamit
Walang mga pag-aayos ng serbisyo sa sarili para sa mga lockout ng account, bagaman maraming mga vendor ng software ng third-party ang nalutas ang problema. Ang alinman sa mga gumagamit ay kailangang maghintay para sa isang tagal ng oras bago mag-retry o makipag-ugnay sa isang administrator upang mai-reset ang naka-lock na account. Ang pag-reset ng isang naka-lock na account ay hindi isang punto ng stress para sa isang tagapangasiwa, bagaman maaari itong patunayan na bigo para sa isang gumagamit.
Ang isa sa mga pagkukulang ng AD ay ang mga lockout ng account ay maaaring magmula sa mga mapagkukunan maliban sa isang gumagamit na pumapasok sa hindi tamang password, ngunit hindi binibigyan ng AD ang tagapamahala ng anumang mga pahiwatig tungkol sa pinanggalingan.
5. Pahintulot sa Elevation at Pahintulot na kilabot
Mayroong isang potensyal para sa mga pribadong gumagamit na higit na itaas ang kanilang mga pribilehiyo sa pamamagitan ng pagdaragdag ng kanilang sarili sa ibang mga pangkat. Ang mga pribilehiyong gumagamit ay ang mga may mataas na pribilehiyo, ngunit may sapat na awtoridad upang idagdag ang kanilang sarili sa mga karagdagang grupo, na nagbibigay sa kanila ng karagdagang mga pribilehiyo sa Aktibong Directory. Pinapayagan ng bahaging ito ng seguridad ang isang panloob na magsasalakay upang magdagdag ng mga pribilehiyo sa isang hakbang na hakbang hanggang sa mayroong malawak na kontrol sa isang domain, kasama na ang kakayahang i-lock ang ibang mga administrador. (Tanggalin ang mga manu-manong pamamaraan sa pag-ubos ng mapagkukunan sa Aktibong Pamamahala ng Pagkakakilanlan ng Aktibidad. Alamin kung paano dito.)
Ang permiso creep ay isang kondisyon na nangyayari kapag ang mga tagapangasiwa ay hindi nagtanggal sa mga gumagamit sa isang partikular na grupo ng pribilehiyo kapag nagbago ang trabaho ng isang gumagamit o kapag ang isang gumagamit ay umalis sa kumpanya. Ang pahintulot ng kilabot ay maaaring payagan ang mga gumagamit na mag-access sa mga assets ng corporate kung saan hindi na kailangan ng gumagamit. Ang pagtanggap ng elevation at pahintulot ay gumagapang parehong lumikha ng malubhang alalahanin sa seguridad. Iba't ibang mga application ng third-party ang umiiral na maaaring magsagawa ng mga pag-audit upang makita at maiwasan ang mga kondisyong ito.
Mula sa mga maliliit na kumpanya hanggang sa pandaigdigang negosyo, pinangangasiwaan ng Aktibong Directory ang pagpapatunay ng gumagamit, pag-access sa mga mapagkukunan, at pamamahala ng computer. Ito ay isa sa pinapahalagahan na mga piraso ng imprastraktura ng network sa negosyo ngayon. Tulad ng isang malakas na tool bilang Aktibong Direktoryo ay, maraming mga pagkukulang ito. Sa kabutihang palad, ang mga vendor ng software na hindi Microsoft ay nagpalawak ng mga tampok ng Aktibong Direktoryo, nalutas ang hindi magandang iniisip na disenyo ng interface ng pamamahala, pinagsama ang pag-andar nito, at inayos ang ilan sa mga mas nakasisilaw na mga kakulangan.
Ang nilalamang ito ay dinala sa iyo ng aming kasosyo na si Adaxes.
