Полезные советы для владельцев Active Directory №3

Текст: 

В отличие от предыдущих номеров №1 и №2, речь пойдет об общих вещах. О том как организовать правильный жизненный цикл учетной записи в AD. Правильный - значит стабильный, когда все данные вносятся в автоматическом режиме и требуют вмешательства администратора в исключительных случаях.

Автоматический режим, конечно, не означает, что данные о пользователях попадают в AD прямо из воздуха. Кто-то должен их первично внести в информационную систему (ИС). Поэтому под автоматическим режимом подразумевается извлечение данных о пользователе из информационных систем, например, отдела кадров и информационной безопасности (ИБ). Их обработка и внесение на этой основе изменений в AD.

При таком порядке ИТ отдел выполняет только свойственные ему функции и не занимается согласованиями различных прав доступа к корпоративным сервисам.

Общая схема работы такова:

  1. Отдел кадров принимает сотрудника на работу и вносит его данные в ИС отдела кадров
  2. Отдел ИБ, на основании должности выдает сотруднику права доступа к корпоративным сервисам в своей ИС
  3. Отдел кадров переводит сотрудника на другую должность и вносит изменения в свою ИС
  4. Отдел ИБ, пересматривает права доступа к корпоративным сервисам и вносит изменения в ИС
  5. Отдел кадров увольняет сотрудника и проставляет отметку в ИС отдела кадров

Шаги 3 и 4 могут многократно повторяться. Возможны различные вариации, например, ИБ может вносить изменения в свою ИС без отдела кадров, на основании заявки пользователя. Но суть это не меняет. Определены корпоративные системы и права доступа к ним и эта информация вносится отделом кадров и ИБ в соответсвующие ИС.

Задача отдела ИТ состоит в выгрузке этих данных, приведении их к удобному для обработки виду и внесению изменений в AD.

Способы переноса данных из ИС в AD должны быть подробно документированы и согласованы с отделом кадров, ИБ и ИТ. До начала реализации на предприятии должен быть принят документ примерно следующего названия "Политика сопровождения службы каталога Active Directory"

Примерное содержание политики:

  • Описание структуры OU
  • Серверы: именование, порядок ввода в AD
  • Рабочие станции: именование, порядок ввода в AD
  • Пользователи: именование, создание, изменение и удаление в AD (автоматический и ручной варианты)
  • Контакты: именование, создание и удаление в AD
  • Группы рассылки и безопасности: именование, создание, изменение и удаление в AD (автоматический и ручной варианты)

Итогом этой работы должен быть скрипт, рекомендую Powershell. Который на основании установленных в политике правил и данных из ИС отдела кадров и ИБ периодически вносит изменения в AD.

В AD появляется понятная структура OU копирующая штатную структуру предприятия, в OU размещены соответствующие группы и пользователи у каждого из которых прописаны в атрибутах их табельный номер, должность, контактные данные, непосредственный руководитель, физическое размещение пользователя. Физическое местоположение можно брать из ИС отдела кадров, а также по физическому метоположению рабочей станции на которой залогинен пользователь (см. №1 и №2).

А в заключение как делать не надо.

В ИТ отдел приходит служебная записка в бумажном виде (в продвинутых случаях письмо по электронной почте) о том, что на работу принят сотрудник такой-то. Дальше начинаются муки творчества, системный администратор втягивается в совершенно не свойственную ему работу. Он начинает выяснять что это за пользователь и что ему разрешено. При этом вероятны конфликтные ситуации и различные недоразумения. Непосредственный руководитель пользователя требует одно, а ИБ вроде бы это запрещало, а у одного из пользователей это все-таки есть и т.д. Администратору приходится выступать в роли судьи принимающего то или решение. Решение это будет в большинстве случаев ошибочно, ибо сисадмин не может оценить бизнес потребности и требования ИБ. Это не его работа и у него просто нет данных.

Есть такие товарищи которым все это нравится, хотя бы в небольшой степени, но почувствовать внимание других сотрудников, а то все эти скучные компьютеры да программы. Это означает только одно, что их место совершенно не в ИТ, а в отделе кадров или может быть в ИБ или в ЖЭКе. Там внимание обеспечено.

Два подхода: упорядоченность и хаос. Плюсы и минусы объяснять не нужно.

Добавить комментарий.

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступны HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
CAPTCHA на основе изображений
Введите символы, которые показаны на картинке.