Beperkte toegang Active Directory

Dan kom je snel uit bij 3rd party tools uit zoals deze:

http://www.quest.com/activeroles-server/

Yarisken schreef op zondag 04 mei 2014 @ 23:04:
Beste,

Ik heb een collega die ik beperkte rechten wil geven in AD op bepaalde ou's.
RSAT heeft hij al. Wat ik tegenkom in mijn zoektocht is delegation uiteraard. Ik vind dit eigenlijk een dirty onoverzichtelijke oplossing. Er is nergens een centraal punt waar je die rechten kan bekijken. Zijn er mensen die een andere mogelijkheid weten / kennen die overzichtelijker werkt ?

Als je goed met groepen gaat werken dan is het niet zo onoverzichtelijk. Niet je collega op accountnaam rechten geven maar creëer hiervoor groepen. Bijvoorbeeld groepen als "Servicedesk", "Beheer Junior", "Beheer Medior" en "Beheer Senior". Geef die groepen dan via delegation rechten en gooi de mensen in de juiste groep.

Yarisken schreef op zondag 04 mei 2014 @ 23:04:
Er is nergens een centraal punt waar je die rechten kan bekijken.

Staat als het goed is gewoon in je documentatie vermeld....

Question Mark schreef op maandag 05 mei 2014 @ 09:13:
[...]

Staat als het goed is gewoon in je documentatie vermeld....

Sterker nog : als je de security settings bekijkt van de betreffende OU dan zie je gewoon hoe de rechten staan (dus er is wel een centrale plek waar je het uit kan lezen)

Killah_Priest schreef op maandag 05 mei 2014 @ 09:56:
[...]


Sterker nog : als je de security settings bekijkt van de betreffende OU dan zie je gewoon hoe de rechten staan (dus er is wel een centrale plek waar je het uit kan lezen)

Nee, die is er in dat opzicht niet. Want als je 20 OUs hebt, moet je op 20 plekken kijken wie welke rechten waar heeft. Er is geen plek waarbij je kan zien dat GebruikerX modify rechten heeft op OU groepen en schrijfrechten heeft op OU applicatiebeheerders bijvoorbeeld. Je moet dan telkens een 3rd party audit tool draaien om dat een beetje overzichtelijk in beeld te krijgen (zal eerder een lange lap tekst zijn).

Delegation of Control is iets waar je zélf over na moet (willen) denken bij het inrichten van een domein en dus tijdens het inrichten van een AD al rekening mee moet houden!

OU Autorisaties zet je (net als NTFS rechten) weg op DOMAIN LOCAL groepen waarin je een DOMAIN GLOBAL groep nest. In die DOMAIN GLOBAL groep zet je vervolgens de gebruiker(s) welke je wil autoriseren.

Als de gebruiker P.Puk alleen maar rechten mag krijgen om bijv. het attribuut "description" te wijzigen bij alle gebruikers in de OU "TEST" dan maak je daar dus 2 AD groepen voor aan (1 Domain Global en 1 Domain Local) waarbij je de Domain Local groep de rechten geeft op die OU om dát attribuut (description) aan te passen. De aangemaakte Global groep nest je in die Domain Local groep en je maakt de gebruiker (P.Puk) lid van de Domain Global groep.

Wil je het écht netjes doen dan haal je ook de rechten voor Domain Admins (en zelfs Enterprise Admins) weg zodat ook die alleen nog maar als "Authenticated User" recht hebben op die OU.

Yarisken schreef op dinsdag 06 mei 2014 @ 00:55:
[...]


Idd precies wat ik bedoel. Ik heb liever niet dat mijn AD een vuilbak wordt. Ik zoek nog wat verder. Als ik interessante zaken tegenkom zal ik wel terug posten.

Om te voorkomen dat het een vuilbak wordt, maak je gebruik van degelijke documentatie en zorg je ervoor dat die up to date blijft. Dan heb je 1 plek waar de rechten staan, waarom die er staan en wie er effectief wat mag.

Een goede IT structuur staat of valt bij het hebben van degelijke documentatie. Kan jij zo vertellen hoe je netwerk in elkaar steekt? Is dat beschreven met een tekening e.d.? Om maar een voorbeeld te noemen.

Heb jij wel genoeg ervaring (zit je nu niet met een stageopdracht?) om te weten welke waarde degelijke documentatie heeft? Je hoeft mij niets te vertellen, been there done that. Daarom zeg ik ook, houd het bij. Ik weet hoe het in de praktijk gaat, veel te vaak gezien.

Yarisken schreef op dinsdag 06 mei 2014 @ 15:50:
[...]
Mooi in theorie maar de praktijk is iets anders hé.

Wat is het verschil dan? Goede "as-build" documentatie is een van de fundamenten van goed beheer.

Als er in jouw organisatie verschil zit tussen de documentatie en werkelijkheid heb je een niet goed functionerend change-proces. Elke change moet gedocumenteerd worden... punt...

Dat neemt niet weg dat rapportagetooling ontzettend handig is, maar dat beschouw ik als een controlemiddel, niet als leidraad.

Yarisken schreef op dinsdag 06 mei 2014 @ 15:50:
[...]
Mooi in theorie maar de praktijk is iets anders hé.

Na deze opmerking geen inhoudelijk antwoord meer op de initiële vraag, maar: "Dan heb je het niet goed gedaan".

Yarisken schreef op woensdag 07 mei 2014 @ 16:41:
Ik heb een hele goeie tool gevonden. http://www.ldapexplorer.com/en/liza.htm
Thx voor de hulp.

Al dat soort tools zijn leuk maar bieden eigenlijk weinig meer dan dát wat er ook al mogelijk is met bijv. PowerShell en VB Scripts in combinatie met de standaard Adminpak/RSAT tooling. Enige voordeel is vaak dat er een GUI omheen zit (Hyena en Quest I.E.). Licentie technisch gezien is dat spul alleen vaak niet interessant.

Maar dan nog: Het beperken van rechten op de AD begint met een doordacht design van die AD. Wat er helaas te vaak gebeurd is dat het "ontwerp" qua OU structuur gebaseerd wordt op een HR structuur óf nog erger een geografische inrichting van een bedrijf.

Los van al het gemier over design dit en dat. Delegation of Control is de built in tool voor onder andere deze taken. En het is echt geen rocket science om dit toe te passen.

Ik (als doorgewinterde AD-specialist) verbaas me over bovenstaande discussie. is je werk echt zo moeilijk, of ben je gewoon lui/onwetend?
Dit is AD beheer en daar hoort to op zekere hoogte delegatie bij. Als het onoverzichtelijk wordt dan moet je eens deneke om OU's zo in te richten dat je nog maar op 1 OU de rechten goed hoeft te zetten. Verder vind ik het verhaal over groepen heel herkenbaar.