前五大活动目录的管理难点

疾风知劲草

　　对于您的企业来说，活动目录（ AD ）环境可能比您最有价值的应用程序或最受保护的知识产权更为关键。活动目录是您的网络、系统、用户和应用程序安全性的核心。它管理计算基础架构中所有对象和资源的访问控制，并且管理它所需的人力和硬件资源成本都很高。得益于第三方软件供应商，您还可以将Linux、UNIX和 Mac OS X系统添加到AD的托管资源的配置表中。
　　如果要为几十个用户和组管理AD，这个工作就成了一种痛苦。而微软的基本界面和组织对减轻这种痛苦也无能为力。活动目录并不是一个不中用的工具，但是它在某方面需要管理员搜索第三方工具。本文探讨了AD的最大的管理缺陷。
　　1. 处理嵌套组
　　不管您相信与否，实际上有一些与创建和使用嵌套AD组相关的最佳实践。但是，这些最佳实践需要通过内置的AD限制进行调整，这样管理员就不能将嵌套组扩展到多个级别。此外，为防止在每个现有组中出现多个嵌套组而作出的限制将防止今后出现内务处理以及管理问题。
　　嵌套多个组级别并允许组内有多个组会产生复杂的继承问题，绕过安全和破坏组织措施，组管理目的是防止。定期的AD审核将使管理员和架构师能够重新评估AD组织并纠正嵌套的组蔓延。
　　多年来，系统管理员一直往他们的头脑中灌输“管理组，而不是管理个人”的信条，但组管理不可避免地会导致嵌套组和管理不善的权限。
　　2. 从ACLs切换到RBAC
　　从以用户为中心的访问控制列表（ ACLs ）AD管理风格切换到更为企业化的基于角色的访问控制（ RBAC ）方法似乎很容易。AD不是这样。管理ACLs很困难，但是切换到RBAC也不是一件容易的事。ACLs的问题在于AD中没有管理权限的中心位置，这使得管理变得很困难，且成本高昂。RBAC试图通过按角色（而不是按个人）处理访问权限来减少权限和访问失败，但由于缺少集中权限管理，它仍然存在不足。但是，尽管迁移到RBAC很困难，但它远比使用ACLs手动管理每个用户的权限要好得多。
　　ACLs在可扩展性和敏捷可管理性方面存在缺陷，因为它们的范围太广。另外，由于管理员根据用户角色授予权限，因此角色也更精确。例如，如果新闻机构的新用户是编辑，则她具有AD中定义的编辑角色。管理员将该用户放入编辑者组中，该组授予该用户编辑者所需的所有权限和访问权限，而无需将该用户添加到多个其他组以获得同等的访问权限。
　　RBAC基于角色或作业函数定义权限和限制，而不是将用户分配给可能具有更广泛权限的多个组。RBAC角色非常具体，不需要嵌套或其他ACL复杂性来获得更好的结果、更安全的环境和更易于管理的安全平台。
　　3. 管理计算机
　　管理新计算机、管理与域断开连接的计算机，以及尝试使用计算机帐户执行任何操作，这些都会让管理员想去最近的Martini酒吧吃早餐。
　　这种戏剧性的断言背后的原因是，作为Windows管理员，您永远不希望在屏幕上看到这11个单词：“The trust relationship between this workstation and the primary domain failed.（此工作站与主域之间的信任关系失败）。“这些单词意味着您要进行多次尝试，可能还要花费数小时才能将这个任性的工作站重新连接到域。不幸的是，标准的Microsoft修复程序不起作用。标准修复程序包括在活动目录中重置计算机的帐户对象、重新启动工作站然后祈求好运。其他重新连接的补救措施通常与标准补救措施一样有效，导致管理员重新安装断开的系统，以便将其重新连接到域。
　　4. 处理用户帐户锁定
　　虽然一些第三方软件供应商已经解决了这个问题，但是对于帐户锁定没有自助解决方案。用户在重试之前必须等待一段时间，或者与管理员联系然后才能重置锁定的帐户。重置锁定的帐户对管理员来说不是一个大问题，尽管它可能会让用户不高兴。
　　AD的一个缺点是帐户锁定可能来自用户输入错误密码以外的其他来源，但AD并没有向管理员提供有关该来源的任何提示。
　　5. 权限提升和权限蔓延
　　特权用户有可能通过将自己添加到其他组来进一步提升他们的特权。特权用户是指具有某些提升的权限，但仅具有足够权限将自己添加到其他组中的用户，这将授予他们在活动目录中的其他权限。此安全缺陷允许内部攻击者逐步添加权限，直到存在对域的广泛控制，包括能够锁定其他管理员。（消除活动目录身份管理中耗费资源的手动过程。点击了解更多的信息。）
　　权限蔓延是指当管理员无法从特定权限组中删除用户时，当用户的职务发生更改或用户离开公司时发生的情况。权限蔓延可以允许用户访问不再需要的公司资产。权限提升和权限蔓延都造成严重的安全问题。有可执行审计以检测和预防这些情况的各种第三方应用程序。
　　从小公司到全球企业，活动目录处理用户身份验证、资源访问和计算机管理。它是当今企业中最有价值的网络基础架构之一。尽管活动目录是一个功能强大的工具，但它也有许多的缺点。幸运的是，非Microsoft软件供应商已经扩展了活动目录的功能，解决了其构思拙劣的管理界面设计，整合了其功能，并对其一些明显的不足进行了调整。
　　WHT中文门户站虚拟主机资讯网，提供最新最全的互联网资讯，为更多主机爱好者提供一个交流平台。
　　WHT中文资讯网原创，转载请注明出处。