Active Directory на полную катушку
Все ресурсы фирмы должны быть доступны только через группы в AD
Все рабочие машины и рабочее окружение настраиваются только через групповую политику
Каждая групповая политика преследует одну четко сформулированную цель
Все группы и групповые политики, а также структура контейнеров в AD должны легко читаться и однозначно интерпретироваться
Active Directory – мощный инструмент системного администратора, чаще всего использующийся для централизованной аутентификации сотрудников. Однако это не самая впечатляющая функция AD, и в большинстве предприятий ее функционал не реализуется. Как же использовать ее на полную катушку, да еще и корректно?
Еще с 1996 года AD используется для применения единых настроек ко всем машинам, серверам и рабочим окружениям – тогда, правда, ПО называлось System Policy, сегодня же мы знаем этот инструмент под названием «групповые политики» (group policy).
Если у вас в компании групповых политик меньше пяти, а учетки домена AD по умолчанию размещены в контейнерах – что ж, это нужно поправить! Домен – настроить, функционал реализовать.
Но что конкретно нужно сделать?
Все ресурсы фирмы должны быть доступны только через группы в AD
Доступ к любым информационным ресурсом вашей компании должен предоставляться только через оснастку Active Directory, то же самое касается и блокировки доступа. Благодаря этому подходу вы всегда будете знать, какие ресурсы кому доступны – через свойства учетки.
Делается это через группы безопасности AD, т.е. каждый ресурс должен предоставляться через собственную группу с настроенными на него правами. Если все имеющие доступ учетки будут сосредоточены в соответствующих группах, то вы сможете видеть, кто имеет доступ к какой информации.
Чтобы упростить поиск нужных групп, им лучше всего создать соответствующие контейнеры.
Все рабочие машины и рабочее окружение настраиваются только через групповую политику
Благодаря этому принципу одного взгляда в AD будет достаточно, чтобы понять, как настроены рабочие станции и какое на них установлено ПО.
Это серьезно облегчает введение в работу новой машины: установите на нее операционную систему, введите ее в домен – и она автоматически настроится посредством групповой политики. Комплект ПО, рабочее окружение – все подгрузится автоматически. Кстати, так же можно настраивать и серверы.
Каждая групповая политика преследует одну четко сформулированную цель
Это очевидное правило, упреждающее неразбериху. В любой политике можно прописать множество настроек, но когда политик будет много и возникнут ошибки, «вылавливать блох» будет ну очень трудно. Поэтому: одна политика – одна задача.
Кроме того, благодаря этому правилу управление политиками будет гибче: разные компьютеры и пользователей можно будет разносить по разным контейнерам.
Наконец, соблюдая эту установку вы получите политики, которые легко изучить (например, чтобы ввести нового сотрудника в курс дела) и которыми просто управлять (если нужно отключить параметр настройки, достаточно отключить политику на домене).
Все группы и групповые политики, а также структура контейнеров в AD должны легко читаться и однозначно интерпретироваться
Во многих компаниях хорошо настроенная Active Directory это не сотни даже, а тысячи атрибутов, групп и политик. Они нужны чтобы упростить управление, но с тем же успехом могут и усложнить его – если их будет не прочитать.
Корректная настройка AD не только технически грамотна, но и должна легко читаться и усваиваться. К сожалению, чаще это атрибут мощной корпорации, которой важно вводить в курс дела новых сотрудников и максимально упростить управление и без того сложной IT-инфраструктурой. Все-таки если у вас 20 пользователей и 20000, то во втором случае это правило очевиднее.