NộI Dung
- 1. Xử lý các nhóm lồng nhau
- 2. Chuyển sang RBAC từ ACL
- 3. Quản lý máy tính
- Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn
- 4. Xử lý khóa tài khoản người dùng
- 5. Độ cao cho phép và leo lên quyền
Nguồn: Tmcphotos / Dreamstime.com
Lấy đi:
Tìm hiểu năm lĩnh vực chính của AD có thể cần sự can thiệp của phần mềm bên thứ ba.
Khá có thể thậm chí quan trọng hơn đối với doanh nghiệp của bạn so với ứng dụng có giá trị nhất hoặc tài sản trí tuệ được bảo vệ nhất của bạn là môi trường Active Directory (AD). Active Directory là trung tâm bảo mật mạng, hệ thống, người dùng và ứng dụng của bạn. Nó chi phối kiểm soát truy cập cho tất cả các đối tượng và tài nguyên trong cơ sở hạ tầng máy tính của bạn và với chi phí đáng kể cả về tài nguyên con người và tài nguyên phần cứng cần thiết để quản lý nó. Và nhờ các nhà cung cấp phần mềm bên thứ ba, bạn cũng có thể thêm các hệ thống Linux, UNIX và Mac OS X vào các tiết mục tài nguyên được quản lý của AD.Quản lý AD cho nhiều hơn chỉ vài chục người dùng và các nhóm trở nên rất đau đớn. Và giao diện và tổ chức cơ bản của microsofts không giúp làm giảm nỗi đau đó. Active Directory không phải là một công cụ yếu, nhưng có những khía cạnh của nó khiến các quản trị viên tìm kiếm các công cụ của bên thứ ba. Phần này khám phá những thiếu sót hành chính hàng đầu của AD.
1. Xử lý các nhóm lồng nhau
Dù bạn có tin hay không, thực sự có những thực tiễn tốt nhất liên quan đến việc tạo và sử dụng các nhóm AD lồng nhau. Tuy nhiên, những thực tiễn tốt nhất đó nên được giảm bớt bởi các hạn chế AD tích hợp, để quản trị viên không được phép mở rộng các nhóm lồng nhau đến nhiều cấp độ. Ngoài ra, một hạn chế để ngăn chặn nhiều nhóm lồng nhau trong mỗi nhóm hiện có sẽ ngăn các vấn đề về quản lý và quản lý trong tương lai phát sinh.
Lồng nhiều cấp độ nhóm và cho phép nhiều nhóm trong các nhóm tạo ra các vấn đề thừa kế phức tạp, bỏ qua các biện pháp bảo mật và hủy hoại các biện pháp tổ chức mà quản lý nhóm được thiết kế để ngăn chặn. Kiểm toán AD định kỳ sẽ cho phép quản trị viên và kiến trúc sư đánh giá lại tổ chức AD và sửa lỗi nhóm lồng nhau.
Các quản trị viên hệ thống đã có các nhóm Quản lý trên mạng, chứ không phải các cá nhân. Tín dụng đã dồn nén vào não của họ trong nhiều năm, nhưng quản lý nhóm chắc chắn dẫn đến các nhóm lồng nhau và các quyền được quản lý kém. (Tìm hiểu về bảo mật dựa trên vai trò của Softerra Adaxes tại đây.)
2. Chuyển sang RBAC từ ACL
Chuyển từ danh sách kiểm soát truy cập lấy người dùng làm trung tâm (ACL) sang phương pháp quản lý truy cập dựa trên vai trò (RBAC) của doanh nghiệp hơn có vẻ như đó là một nhiệm vụ dễ dàng. Không như vậy với AD. Quản lý ACL rất khó, nhưng chuyển sang RBAC cũng không phải đi bộ trong công viên. Vấn đề với ACL là có một vị trí trung tâm trong AD để quản lý các quyền, điều này khiến cho việc quản trị trở nên khó khăn và tốn kém. RBAC cố gắng giảm thiểu các quyền và lỗi truy cập bằng cách xử lý các quyền truy cập theo vai trò thay vì theo từng cá nhân, nhưng nó vẫn bị thiếu do thiếu quản lý quyền tập trung. Nhưng, đau đớn như khi chuyển sang RBAC, nó tốt hơn nhiều so với việc quản lý các quyền theo cách thủ công trên cơ sở mỗi người dùng với ACL.
ACL không có khả năng mở rộng và khả năng quản lý nhanh vì chúng quá rộng về phạm vi. Các vai trò, thay vào đó, chính xác hơn vì quản trị viên cấp quyền dựa trên vai trò của người dùng. Ví dụ: nếu người dùng mới tại một cơ quan tin tức là một biên tập viên, thì cô ấy có vai trò của Biên tập viên như được định nghĩa trong AD. Quản trị viên đặt người dùng đó vào Nhóm Biên tập cấp cho cô ấy tất cả các quyền và quyền truy cập mà Biên tập viên yêu cầu mà không cần thêm người dùng vào nhiều nhóm khác để có quyền truy cập tương đương.
RBAC xác định các quyền và hạn chế dựa trên vai trò hoặc chức năng công việc thay vì chỉ định người dùng cho nhiều nhóm có thể có quyền rộng hơn. Vai trò RBAC rất cụ thể và không yêu cầu lồng hoặc các phức hợp ACL khác để đạt được kết quả tốt hơn, môi trường an toàn hơn và nền tảng bảo mật được quản lý dễ dàng hơn.
3. Quản lý máy tính
Quản lý máy tính mới, quản lý máy tính đã bị ngắt kết nối khỏi miền và cố gắng làm bất cứ điều gì với tài khoản máy tính khiến quản trị viên muốn đến quán bar Martini gần nhất - cho bữa sáng.
Không lỗi, không căng thẳng - Hướng dẫn từng bước của bạn để tạo ra phần mềm thay đổi cuộc sống mà không phá hủy cuộc sống của bạn
Bạn không thể cải thiện kỹ năng lập trình của mình khi không ai quan tâm đến chất lượng phần mềm.
Lý do đằng sau một khẳng định kịch tính như vậy là có 11 từ mà bạn không bao giờ muốn đọc trên màn hình với tư cách là Quản trị viên Windows: Hồi Mối quan hệ tin cậy giữa máy trạm này và tên miền chính đã thất bại. dành nhiều lần thử và có thể nhiều giờ kết nối lại máy trạm bướng bỉnh này với miền. Thật không may là bản sửa lỗi tiêu chuẩn của Microsoft không hoạt động. Bản sửa lỗi tiêu chuẩn bao gồm việc đặt lại đối tượng tài khoản máy tính trong Active Directory, khởi động lại máy trạm và vượt qua một ngón tay khác. Các biện pháp khắc phục sự cố khác thường có hiệu quả tương đương với biện pháp tiêu chuẩn, khiến các quản trị viên đánh giá lại hệ thống bị ngắt kết nối để kết nối lại với miền.
4. Xử lý khóa tài khoản người dùng
Không có sửa chữa tự phục vụ cho khóa tài khoản, mặc dù một số nhà cung cấp phần mềm bên thứ ba đã giải quyết vấn đề. Người dùng phải chờ một khoảng thời gian trước khi thử lại hoặc liên hệ với quản trị viên để đặt lại tài khoản bị khóa. Việc thiết lập lại tài khoản bị khóa là một điểm gây căng thẳng cho quản trị viên, mặc dù điều đó có thể gây khó chịu cho người dùng.
Một trong những thiếu sót của ADật là việc khóa tài khoản có thể bắt nguồn từ các nguồn khác với người dùng nhập mật khẩu không chính xác, nhưng AD không đưa ra cho người quản trị bất kỳ gợi ý nào về nguồn gốc đó.
5. Độ cao cho phép và leo lên quyền
Có một tiềm năng cho người dùng đặc quyền nâng cao hơn nữa các đặc quyền của họ bằng cách thêm chính họ vào các nhóm khác. Người dùng đặc quyền là những người có một số đặc quyền nâng cao, nhưng họ có đủ thẩm quyền để tự thêm vào các nhóm bổ sung, cấp cho họ các đặc quyền bổ sung trong Active Directory. Lỗ hổng bảo mật này cho phép kẻ tấn công nội bộ thêm các đặc quyền theo cách từng bước cho đến khi có quyền kiểm soát rộng rãi đối với một tên miền, bao gồm khả năng khóa các quản trị viên khác. (Loại bỏ các thủ tục thủ công tiêu tốn tài nguyên trong Quản lý nhận dạng Active Directory. Tìm hiểu cách thức tại đây.)
Creep quyền là một điều kiện xảy ra khi quản trị viên không thể xóa người dùng khỏi một nhóm đặc quyền cụ thể khi người dùng Thay đổi công việc hoặc khi người dùng rời khỏi công ty. Creep quyền có thể cho phép người dùng truy cập vào tài sản của công ty mà người dùng không còn cần nữa. Độ cao cho phép và creep cho phép cả hai tạo ra mối quan tâm bảo mật nghiêm trọng. Các ứng dụng của bên thứ ba khác nhau tồn tại có thể thực hiện kiểm toán để phát hiện và ngăn chặn các điều kiện này.
Từ các công ty nhỏ đến các doanh nghiệp toàn cầu, Active Directory xử lý xác thực người dùng, truy cập vào tài nguyên và quản lý máy tính. Nó là một trong những phần có giá trị nhất của cơ sở hạ tầng mạng trong kinh doanh ngày nay. Là một công cụ mạnh mẽ như Active Directory, nó có nhiều thiếu sót. May mắn thay, các nhà cung cấp phần mềm không phải của Microsoft đã mở rộng các tính năng Active Directory, giải quyết thiết kế giao diện quản lý được hình thành kém, củng cố chức năng của nó và xử lý một số bất cập rõ ràng hơn.
Nội dung này được mang đến cho bạn bởi đối tác của chúng tôi, Adaxes.
