A zéró “Domain Admin” projekt

Így neveztem el azt a törekvésemet, amellyel teljesen át szeretném alakítani az Active Directory adminisztrációs gyakorlatunkat. Ma túlságosan sok "Domain Admin"-unk van, ami igazából teljesen felesleges. Sem a szaktudás nincs meg hozzá, sem a tényleges munkavégzéshez nem kell. Leginkább azért kerül be valaki a főfő rendszergazda csoportba, hogy a munkaállomásokon is admin jogai legyenek.

Találtam egy nagyon jó dokumentumot a Microsoft Technet oldalán, amelyen átrágtam magam és megértettem, hogy az AD delegációnak tulajdonképpen az, amit én keresek. A doksi neve "Best Practices for Delegating Active Directory". Az áttanulmányozás után a saját rendszerünkre adaptáltam a leírást, ami most végre elkészült. Nem volt kis munka, több, mint 50 oldalas anyagot tettem a főnököm el. A projekt vázlata a következő:

  1. Elválasztjuk egymástól az Active Directory szolgáltatás adminisztrációt az adat adminisztrációtól. A szolgáltatás adminisztráció nem más, mint az AD IT szolgáltatásként való biztosítása. Ebbe a témakörbe tartozik a topológia kialakítása, replikáció, DNS kezelés, globális katalógusok, FSMO szerepek menedzselése stb. stb. Mivel ezeket a feladatokat csak nagyon kevesen végzik ténylegesen, csupán 2-3 szolgáltatás adminisztrátort kell meghagyni.
  2. A dokumentum kb tucatnyi un. szerepet állapít meg. A szerepekhez feladatcsoportok, azokhoz konkrét feladatok, a feladatokhoz pedig meghatározott címtár hozzáférési listák tartoznak. Így meghatározható, hogy egy szerep (pl. Forest Config Operator) milyen ACL módosításokat igényel az AD objektumokon. A MS kiadvány nagy érdeme, hogy a melléklet minden egyes szükséges engedélyt leír, nem kell kitalálni. Ha megfelelnek az ő általuk javasolt szerepek (nekünk megfeleltek), akkor step-by-step leírást is mellékelnek, hogyan kell a szerepekhez tartozó engedélyeket megadni.
  3. A szolgáltatás adminisztrátorok mellett vannak még "adat adminisztrátorok" is. Ők felelősek a felhasználók felvételéért, szervezeti egységek létrehozásáért, a csoporttagságok kezeléséért stb. A mostani rendszergazdák többségét az "Adat adminisztrátor" kategóriába soroljuk (majd, remélhetőleg)
  4. Kialakítottam egy új OU hierarchiát, amely jobban tükrözi a jelenlegi adminisztrációs modellt, nem telephelyenként, hanem objektum-típusonként csoportosítjuk ezen túl a címtár tartalmát. A delegáció mellett használatba vesszük a "restricted groups" házirend funkciót is, amellyel távolról állíthatjuk be, hogy pl. egy adott munkaállomáson ki legyen az Administrators csoport tagja. Ezáltal máris kihúztuk a nagy méregfogat, a korábbi adminok lehetnek rendszergazdák a Pc-ken és notebookokon.
  5. Adat adminisztrátorból kb 10-12 szerepet definiáltam, ilyeneket, mint az "Account Admins"; "Workstation Admins"; "Firewall Admins"; "Helpdesk Operators" stb. Persze mivel nem vagyunk túl sokan, egy-egy munkatárs majd több szerepet is vinni fog.
  6. Hogy a korábbi csoportosítás minden előnyét megtartsuk, ezért meg kellett határozni, hogy mostantól a felhasználók és a számítógépek egy-egy tulajdonságát hogyan kell kitölteni. Például mit kell írni a "Description" mezőbe, mi legyen a "Department" mező pontos szerkezezet (kötséghelyszám, költséghelynév), vagy éppen hogy egy mező kötelező vagy sem. Elválasztottam a kitöltési útmutatónál a felhasználói fiókokat és a service fiókokat, a test accountokat és más leányvállalatok felhasználóit. Így egyszerűbb lesz a lekérdezéseket elkészíteni, tudni fogunk ágazatra, divízióra felhasználókat csoportosítani.

Hát egyelőre ennyi. Most már csak be kell indítani és meg kell valósítani a terveket. A tervek végén pedig valami olyasmi jön létre, hogy mindenkinek lesz ilyen vagy olyan joga, de senki sem lesz "Domain Admin". Majd arról is beszámolok alkalom adtán, mindez hogyan sikerült.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: