Управление изменениями для Active Directory

Опубликовано: 7 Апреля, 2023

Введение

Почти каждый хочет иметь возможность просматривать изменения, которые происходят с важными объектами, находящимися в Active Directory, чтобы убедиться, что безопасность объектов остается неизменной. От учетной записи пользователя и связанных свойств до группы и членов группы, до объекта групповой политики (GPO) и настроек, содержащихся в GPO… управление изменениями является ключевым для Active Directory. Я похлопаю Microsoft по плечу за изменения, которые они внесли в прошлых итерациях серверных операционных систем, обрабатывающих прокрутку контроллера домена. Концепция захоронения объектов, корзины и возможности вернуть удаленный объект из мертвых — это долгожданная технология, которую хотели все среды Active Directory. Даже с этими радикальными и инновационными технологиями в управлении изменениями Active Directory по-прежнему отсутствуют некоторые элементы. В этой статье мы расскажем о том, что есть по умолчанию, а также о том, на что вы, возможно, захотите обратить внимание в других продуктах, которые могут сделать ваше управление изменениями в Active Directory законченным решением.

Возможность восстановить удаленный объект

Как опытный администратор Active Directory я знаю, что удалить один объект из Active Directory не так уж сложно. Удаление может быть «преднамеренным» или «случайным». Несмотря на это, удалить пользователя, группу или даже объект групповой политики очень просто.

Проблема в том, когда вы хотите вернуть этот объект из мертвых. Исторически это непростая задача. Честно говоря, задача вернуть объект после удаления из домена Windows 2000 довольно болезненная. Если вы не использовали NTDSUTIL в своей административной жизни Active Directory, считайте, что вам повезло! Это инструмент командной строки, который можно запустить только в определенном состоянии контроллера домена. Он не прост в использовании, не интуитивно понятен и не так уж легко понять, что вы делаете.

Microsoft добилась больших успехов, и теперь с последними доменами Active Directory у вас есть корзина, которая позволяет гораздо проще восстанавливать удаленные объекты (по сравнению с NTDSUTIL). Корзина теперь сохраняет объект «живым» в течение некоторого времени, чтобы его можно было вернуть в производственную среду всего несколькими простыми нажатиями клавиш.

Я предполагаю, что проблемы, которые у меня возникают с этой встроенной технологией, связаны, прежде всего, с тем, что корзина не включена по умолчанию. Неа! Даже в домене Windows Server 2012. После того, как вы включите его, вы не сможете его отключить! Наконец, восстановление объектов — это не щелчок, а команда, которую вы должны выполнить.

Получение инструмента, который расширяет эту функцию до графического интерфейса и клика, — это то, что вам действительно нужно искать!

Восстановление измененного объекта

На самом деле есть две разные задачи, которые вы можете выполнять с существующим объектом. Вы можете удалить его, как описано в предыдущем разделе. Вы также можете просто изменить свойство (атрибут) учетной записи (объекта). Например, допустим, администратору поставлена задача изменить атрибут Отдел 50 пользователей, которые находятся в Active Directory. Чтобы сделать изменение более эффективным, администратор использует параметр поиска в инструменте «Пользователи и компьютеры Active Directory» (ADUC) и выбирает все учетные записи пользователей, которые находит функция поиска. Затем одним быстрым нажатием клавиши отдел для всех этих пользователей меняется на отдел кадров. Сразу после изменения администратор понимает, что для поиска выбрано 150 пользователей, а не ожидаемые 50! Как администратор может исправить эти ошибочные изменения?

К сожалению, корзина, описанная в предыдущем разделе, бесполезна. Причина в том, что в корзину записываются только удаленные объекты, а не измененные объекты.

Если бы администратор отслеживал изменения в Active Directory с помощью встроенного аудита, журнал показал бы, что некоторые объекты были изменены, но задача найти, какие именно, была бы утомительной. Не говоря уже о том, что журнал аудита находится ТОЛЬКО на контроллере домена, который зафиксировал изменения.

Это очень сложная концепция, которую большинство организаций не рассматривает. Такие инструменты, как PowerBroker Auditor от BeyondTrust, являются единственными инструментами, которые допускают этот тип восстановления.

Управление изменениями Active Directory

Оба наших предыдущих раздела касаются идеи, что что-то было изменено с объектом Active Directory. Удаление или изменение одинаково допустимы и разумны для объекта в Active Directory. А теперь как насчет управления этими изменениями, чтобы узнать, кто их внес, какие детали были изменены, и создать отчет обо всех изменениях за последнюю неделю.

Я знаю… Я действительно прошу здесь многого! Однако я не прошу ничего, чего не хотела бы ЛЮБАЯ компания, использующая Active Directory! Я, как и вы, хочу знать, когда изменяется любое изменение любого объекта в Active Directory. Я хочу знать, кто внес изменение, когда оно было внесено, какое изменение было внесено (новая настройка и старая настройка) и почему было внесено изменение. Хорошо, буду честен, последнее «почему» немного жадное! Тем не менее, первые несколько нет.

В идеале я хочу иметь возможность запускать любой отчет с вопросами о конкретных объектах, изменениях за последнюю неделю, изменениях в группах, изменениях пользователей и т. д. Я ожидаю получить такие результаты, чтобы точно видеть, что было изменено, включая все необходимых деталей. Это не требует многого!

К сожалению, ничто из того, что поставляется с Microsoft Server, Active Directory, RSAT, Resource Kit и т. д., не имеет такой возможности. Ничего такого!

Однако это то, что легко может быть получено сторонним поставщиком. PowerBroker Auditor от BeyondTrust делает это с легкостью. Вы не только получаете эти замечательные отчеты (которые можно на 100% настроить), но и откат удаленного или измененного объекта, напрямую связанный с объектами, о которых сообщается, и измененными атрибутами. Что может быть лучше?

Что может быть лучше, так это возможность использовать ADUC для просмотра истории объекта и отката к любому изменению. Что ж, это тоже возможно!

Резюме

Я могу быть мечтателем, когда дело доходит до управления изменениями Active Directory, но я так не думаю. В этой статье нет ничего такого, чего не хотел бы каждый из вас, читающих ее. Я уверен, что у вас его нет… если у вас нет нужных инструментов. Корзина от Microsoft — это круто. Однако ему не хватает некоторых ключевых возможностей, которые нужны каждому домену Active Directory. Мне нужно иметь возможность откатить измененный объект. Это просто! Мне также нужно иметь возможность просматривать, что изменилось в объекте, типе объекта или объектах за определенный период времени, чтобы знать, откуда поступают мои изменения в Active Directory. Без этих возможностей создания отчетов я остаюсь с журналами событий, которые сканируют журналы на всех контроллерах домена, и мне приходится вручную пытаться отслеживать изменения. Это не способ эффективно управлять Active Directory! О, не забывайте о возможности связать все это вместе, чтобы управление изменениями было простым, быстрым и эффективным!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023