Organisieren Sie Active Directory mit diesen Strategien

Für viele im IT-Bereich ist dies ein vertrauter Refrain: Sie beginnen einen neuen Job und müssen die …

Handarbeit, wie z. B. ihre Active Directory-Gruppenkonfiguration.
Möglicherweise erben Sie eine Active Directory-Gruppenstrategie von einem Administrator, der den Prozess nicht durchdacht hat, sodass Sie ein Setup erhalten, das nicht die Verwendungsmuster Ihrer Benutzer widerspiegelt. Administratoren, die sich die Zeit nehmen, Active Directory-Organisationseinheiten und -Gruppen kohärenter zu organisieren, vereinfachen ihre Arbeitslast, indem sie die Prüfung von Active Directory-Identitäten vereinfachen und die Active Directory-Angriffsfläche minimieren.
Im Folgenden finden Sie einige praktische Tipps und Tricks, mit denen Sie die Arbeit Ihres Active Directory-Administrators (AD) optimieren und Ihre Sicherheitsbeauftragten unterstützen können.

Das traditionelle Active Directory-Entwurfsmuster

Organisieren Sie zu Beginn immer einzelne Benutzerkonten in Gruppen. Vermeiden Sie es, einzelnen Benutzerkonten Zugriffsberechtigungen zu erteilen, da dieser Ansatz nicht skalierbar ist.
Abbildung 1 zeigt die Empfehlung von Microsoft, Active Directory-Benutzerkonten für den Ressourcenzugriff zu organisieren.

AGDLP-Modell
Abbildung 1. Microsoft empfiehlt das globale Sicherheitsmodell für Berechtigungen für Konten, globale Domänen und lokale Berechtigungen, um Active Directory-Benutzerkonten zu organisieren.

Das AGDLP-Modell (Account, Global, Domain Local, Permission) verwendet den folgenden Workflow:

  • Organisieren Sie Benutzer anhand von Geschäftskriterien wie Abteilung und Standort in globalen Gruppen.
  • Platzieren Sie die entsprechenden globalen Gruppen in lokalen Domänengruppen auf Ressourcenservern, basierend auf ähnlichen Ressourcenzugriffsanforderungen.
  • Gewähren Sie Ressourcenberechtigungen nur lokalen Domänengruppen.

Beachten Sie, wie dieses Modell zwei verschiedene Bereiche verwendet. Globale Gruppen organisieren AD-Benutzer auf Domänenebene, und lokale Domänengruppen organisieren globale Gruppen auf Zugriffsserverebene, z. B. einen Dateiserver oder einen Druckserver.

Verwenden Sie rollenbasierte Grundsätze für die Zugriffskontrolle

Die rollenbasierte Zugriffskontrolle (RBAC) gewährt Zugriff auf Gruppen basierend auf der Jobrolle. Betrachten Sie beispielsweise den Netzwerkdruckerzugriff:

  • Die meisten Benutzer benötigen nur die Möglichkeit, ihre eigenen Druckaufträge einzureichen und zu verwalten.
  • Einige Benutzer haben Berechtigungen zum Verwalten der gesamten Druckwarteschlange delegiert.
  • Ausgewählte Benutzer haben vollen Administratorzugriff auf die Hardware und Software des Druckers.

Microsoft hilft bei einigen Planungsarbeiten, indem RBAC-Rollen in Active Directory vorab ausgefüllt werden. Durch die Installation der Domain Name Service-Rolle werden beispielsweise mehrere Unterverwaltungsgruppen in Active Directory erstellt.

So richten Sie Benutzer und Gruppen in Active Directory ein

Anstatt sich auf vorgefertigte Gruppen zu verlassen, sollten Sie über die Benutzerpopulation und das Entwerfen globaler und lokaler Domänengruppen nachdenken. Versuchen Sie, globale Active Directory-Gruppen gemäß Geschäftsregeln und lokalen Domänengruppen basierend auf Zugriffsrollen zu organisieren.
Möglicherweise sind für jede Geschäftseinheit in Ihrem Unternehmen globale Gruppen definiert, einschließlich IT, Buchhaltung, Recht, Fertigung und Personal. Möglicherweise verfügen Sie auch über lokale Domänengruppen, die auf bestimmten Auftragsaufgaben basieren: Druckwarteschlangenmanager, Druckbenutzer, Dateizugriffsmanager, Dateireader, Datenbankreporter und Datenbankentwickler.
Wenn Sie Active Directory organisieren, besteht das Ziel darin, sowohl die Benutzerpopulation als auch deren Ressourcenzugriffsanforderungen vollständig und genau zu beschreiben, während Sie die Anzahl der globalen und lokalen Domänengruppen so gering wie möglich halten, um die Verwaltungsarbeitslast zu verringern.

Halten Sie die Verschachtelung von Gruppen möglichst auf ein Minimum

Sie sollten die Verschachtelung von Gruppen auf ein Minimum beschränken, da dies Ihren Verwaltungsaufwand erhöht und die Fehlerbehebung bei effektivem Zugriff erschwert. Sie sollten nur globale Gruppen mit einzelnen Active Directory-Benutzerkonten und nur lokale Domänengruppen mit globalen Gruppen füllen.

Registerkarte für effektiven Zugriff
Abbildung 2. Auf der Registerkarte “Effektiver Zugriff” werden die effektiven Berechtigungen für Gruppen, Benutzer und Gerätekonten angezeigt.

Die Betriebssysteme Windows Server und Client verfügen über eine Funktion namens effektiver Zugriff, die im Dialogfeld Erweiterte Sicherheitseinstellungen im Eigenschaftenblatt einer Datei oder eines Ordners zu finden ist. Sie modellieren den effektiven Zugriff für einen bestimmten Benutzer, eine bestimmte Gruppe oder ein bestimmtes Computerkonto von diesem Standort aus. Die Analyse mehrerer Ordner mit dieser Funktion lässt sich jedoch nicht skalieren. Sie müssen es mehrmals ausführen, um Berechtigungen zu analysieren.
In einer Umgebung mit mehreren Domänen ist eine Verschachtelung unvermeidbar. Halten Sie sich nach Möglichkeit an Topologien mit nur einer Domäne.

Domänenübergreifender Ressourcenzugriff
Abbildung 3. Eine domänenübergreifende Konfiguration für den Ressourcenzugriff in Active Directory bietet dem Administrator mehr Flexibilität.

Ich empfehle die Topologie in Abbildung 3, da globale Gruppen Active Directory-Benutzerkonten nur aus ihrer eigenen Domäne enthalten können, Sie jedoch globale Gruppen zu diskretionären Zugriffssteuerungslisten in jeder Gesamtstrukturdomäne hinzufügen können.
Folgendes passiert in der Topologie in Abbildung 3:

  • EIN: Globale Gruppen repräsentieren Mitarbeiter der Marketingabteilung in den Domänen contoso.com und corp.contoso.com.
  • B: Wir erstellen auf unserem App-Server eine lokale Domänengruppe mit dem Namen Mktg App Access und füllen sie mit beiden globalen Gruppen.
  • C: Wir vergeben Berechtigungen für unsere Geschäftsbereich Marketing-App für die lokale Gruppe der Mktg App Access-Domäne.

Wenn Sie Active Directory-Gruppen organisieren müssen, entwickeln Sie eine Namenskonvention, die für alle Mitglieder Ihres Teams sinnvoll ist, und halten Sie sich daran.

Sie fragen sich vielleicht, warum universelle Gruppen nicht erwähnt werden. Ich vermeide sie, weil sie die Anmeldezeiten von Benutzern aufgrund der Suche nach universellen Gruppenmitgliedschaften im globalen Katalog verlangsamen. Universelle Gruppen machen es auch einfach, während der Gruppenerstellung und mit der Strategie des Ressourcenzugriffs schlampig zu sein.

So entwerfen Sie für die Hybrid Cloud

Microsoft bietet Azure Active Directory für Cloud-Identitätsdienste an, die Sie mit lokalen Active Directory-Benutzer- und Gruppenkonten synchronisieren können. Azure AD unterstützt jedoch keine Organisationseinheiten. Azure AD verwendet eine flache Liste von Benutzer- und Gruppenkonten, die für Identitätszwecke gut geeignet ist.
In Anbetracht dieser Struktur ist die richtige Benennung von Benutzern und Gruppen von größter Bedeutung. Sie sollten auch die Active Directory-Eigenschaften ausreichend ausfüllen, um dies zu vereinfachen Verwalten Sie diese Konten in der Azure-Cloud.
Wenn Sie Active Directory-Gruppen organisieren müssen, entwickeln Sie eine Namenskonvention, die für alle Mitglieder Ihres Teams sinnvoll ist, und halten Sie sich daran.
Ein gängiges Gruppennamensmuster umfasst Präfixe. Beispielsweise können Sie alle Ihre globalen Gruppennamen mit GL_ und Ihre lokalen Domänengruppennamen mit DL_ beginnen. Wenn Sie Exchange Server verwenden, verfügen Sie zusätzlich zu den AD-Sicherheitsgruppen über Verteilergruppen. In diesem Fall können Sie das Präfix DI_ verwenden.

Similar Posts

Leave a Reply