A zéró “Domain Admin” projekt

Így neveztem el azt a törekvésemet, amellyel teljesen át szeretném alakítani az Active Directory adminisztrációs gyakorlatunkat. Ma túlságosan sok "Domain Admin"-unk van, ami igazából teljesen felesleges. Sem a szaktudás nincs meg hozzá, sem a tényleges munkavégzéshez nem kell. Leginkább azért kerül be valaki a főfő rendszergazda csoportba, hogy a munkaállomásokon is admin jogai legyenek.

Találtam egy nagyon jó dokumentumot a Microsoft Technet oldalán, amelyen átrágtam magam és megértettem, hogy az AD delegációnak tulajdonképpen az, amit én keresek. A doksi neve "Best Practices for Delegating Active Directory". Az áttanulmányozás után a saját rendszerünkre adaptáltam a leírást, ami most végre elkészült. Nem volt kis munka, több, mint 50 oldalas anyagot tettem a főnököm el. A projekt vázlata a következő:

  1. Elválasztjuk egymástól az Active Directory szolgáltatás adminisztrációt az adat adminisztrációtól. A szolgáltatás adminisztráció nem más, mint az AD IT szolgáltatásként való biztosítása. Ebbe a témakörbe tartozik a topológia kialakítása, replikáció, DNS kezelés, globális katalógusok, FSMO szerepek menedzselése stb. stb. Mivel ezeket a feladatokat csak nagyon kevesen végzik ténylegesen, csupán 2-3 szolgáltatás adminisztrátort kell meghagyni.
  2. A dokumentum kb tucatnyi un. szerepet állapít meg. A szerepekhez feladatcsoportok, azokhoz konkrét feladatok, a feladatokhoz pedig meghatározott címtár hozzáférési listák tartoznak. Így meghatározható, hogy egy szerep (pl. Forest Config Operator) milyen ACL módosításokat igényel az AD objektumokon. A MS kiadvány nagy érdeme, hogy a melléklet minden egyes szükséges engedélyt leír, nem kell kitalálni. Ha megfelelnek az ő általuk javasolt szerepek (nekünk megfeleltek), akkor step-by-step leírást is mellékelnek, hogyan kell a szerepekhez tartozó engedélyeket megadni.
  3. A szolgáltatás adminisztrátorok mellett vannak még "adat adminisztrátorok" is. Ők felelősek a felhasználók felvételéért, szervezeti egységek létrehozásáért, a csoporttagságok kezeléséért stb. A mostani rendszergazdák többségét az "Adat adminisztrátor" kategóriába soroljuk (majd, remélhetőleg)
  4. Kialakítottam egy új OU hierarchiát, amely jobban tükrözi a jelenlegi adminisztrációs modellt, nem telephelyenként, hanem objektum-típusonként csoportosítjuk ezen túl a címtár tartalmát. A delegáció mellett használatba vesszük a "restricted groups" házirend funkciót is, amellyel távolról állíthatjuk be, hogy pl. egy adott munkaállomáson ki legyen az Administrators csoport tagja. Ezáltal máris kihúztuk a nagy méregfogat, a korábbi adminok lehetnek rendszergazdák a Pc-ken és notebookokon.
  5. Adat adminisztrátorból kb 10-12 szerepet definiáltam, ilyeneket, mint az "Account Admins"; "Workstation Admins"; "Firewall Admins"; "Helpdesk Operators" stb. Persze mivel nem vagyunk túl sokan, egy-egy munkatárs majd több szerepet is vinni fog.
  6. Hogy a korábbi csoportosítás minden előnyét megtartsuk, ezért meg kellett határozni, hogy mostantól a felhasználók és a számítógépek egy-egy tulajdonságát hogyan kell kitölteni. Például mit kell írni a "Description" mezőbe, mi legyen a "Department" mező pontos szerkezezet (kötséghelyszám, költséghelynév), vagy éppen hogy egy mező kötelező vagy sem. Elválasztottam a kitöltési útmutatónál a felhasználói fiókokat és a service fiókokat, a test accountokat és más leányvállalatok felhasználóit. Így egyszerűbb lesz a lekérdezéseket elkészíteni, tudni fogunk ágazatra, divízióra felhasználókat csoportosítani.

Hát egyelőre ennyi. Most már csak be kell indítani és meg kell valósítani a terveket. A tervek végén pedig valami olyasmi jön létre, hogy mindenkinek lesz ilyen vagy olyan joga, de senki sem lesz "Domain Admin". Majd arról is beszámolok alkalom adtán, mindez hogyan sikerült.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: