Назад | Перейти на главную страницу

Определение определенных учетных записей Active Directory как «IsHuman»

Я хотел бы отметить определенные учетные записи Active Directory, чтобы указать, что они представляют отдельных физических лиц, а не группы, учетные записи служб, встроенные учетные записи и т. Д. Это может быть через настраиваемый или встроенный атрибут, группу и т. Д.

В идеале решение должно:

Группы - это объект, отличный от пользователей, поэтому различать их уже возможно, даже легко. Встроенные учетные записи обычно остаются в контейнере «Пользователи», тогда как учетные записи пользователей и сервисные учетные записи обычно сортируются в отдельные подразделения либо в контейнере «Пользователи», либо вне контейнера «Пользователи». В любом случае сортировка по OU будет визуальной индикацией в графическом интерфейсе, а также легко доступной для поиска и сортировки другими приложениями, командами PowerShell, поиском и т. Д.

Так что просто отсортируйте пользователей по разным OU по типу пользователя. Вы также можете создать дерево OU для более детальной сортировки пользователей-людей, например, вы можете отсортировать их по отделам в отдельные подразделения OU. Или вы можете отсортировать их по местоположению офиса или по тому, что имеет смысл для бизнеса. Таким образом, у вас будет несколько способов различать пользователей с разными потребностями.

Мне также нравится сортировать все группы по подразделениям. Либо я создаю групповое OU и сортирую все группы внутри него и даже создаю древовидную структуру OU, чтобы отличать группы пользователей от групп ресурсов от групп рассылки, либо я включаю группы рядом с пользователями в соответствующие пользовательские OU.

Если вы не сортируете объекты AD по подразделениям, вы упускаете одну из основных функций Active Directory.

В дополнение к использованию OU вы можете (действительно должны) использовать членство в группе. Обычно существуют причины для создания одной или нескольких групп пользователей и рассылки, которые включают весь персонал организации, но не включают встроенные или служебные учетные записи. Вы также можете создать группу рассылки и / или пользователей для всех учетных записей служб (вы можете назначить соответствующие права для учетных записей служб группам). Группа рассылки полностью предназначена для сортировки пользователей практически без других целей (особенно если вы не используете Exchange), поэтому это идеальный механизм для группировки учетных записей для различных целей.

если ты делать есть Exchange, то в Active Directory добавлены всевозможные расширения схемы, которые можно использовать для различения почтовых ящиков пользователей и общих почтовых ящиков и т. д.

Наконец, что касается учетных записей служб, вы можете подумать о том, какой объем требуется для различных учетных записей служб. Если у вас есть служба, которой требуется настраиваемая учетная запись, но не требуется доступ к каким-либо сетевым ресурсам, вы можете просто создать локальную учетную запись для этой службы и предоставить ей необходимые права на локальном компьютере. Это на одну учетную запись меньше, загромождая вашу AD.

В дополнении к @Todd WilcoxОтличный ответ, я хотел бы добавить идею соглашения об именах для объектов в AD.

Определенные аспекты «атрибутов», которые вы хотите создать для пользователей / групп, могут быть применены по своей сути за счет очень строгого соглашения об именах для объектов и инфраструктуры, и не отклоняясь от него.

Пользователи
Обычные имена пользователей должны быть <FirstName>.<LastName>, или <lastName><FirstInitial>, а их отображаемые имена будут <LastName>, <FirstName> (<Department>). Или все, что работает для вашей компании. В любом случае они должны быть воспроизводимыми и отформатированы таким образом, чтобы, если вы знаете определенный элемент для пользователя, вы знали, как узнать о них больше, потому что вы знаете, что искать.

Real Name       Department      Display name        User Name
John Doe        IT              Doe, John (IT)      John.Doe
Jane Doe        Finance         Doe, Jane (FIN)     Jane.Doe
James Doe       Human Resources Doe, James (HR)     James.Doe

Учетные записи служб также должны соответствовать стандартным соглашениям, но разные чем для обычных пользователей. Это также относится к «общим» учетным записям, но я бы все равно держался подальше от них. Мой предпочтительный формат sa.<vendor>.<product>, так что их довольно легко сгруппировать и найти для последующего повторного использования.

Vendor      Product                 Display Name                        Username
VMware      vSphere                 (SA) VMware - vSphere               sa.vmware.vsphere
Microsoft   SQL Server              (SA) Microsoft - SQL Server         sa.microsoft.sqlserver
Microsoft   Exchange                (SA) Microsoft - Exchange           sa.microsoft.exchange
IBM         Tivoli Storage Manager  (SA) IBM - Tivoli Storage Manager   sa.ibm.tsm

Группы
Группы безопасности должны быть названы в зависимости от того, что они делают и к чему они применяются, но опять же после стандарт шаблон, чтобы можно было легко найти группы с похожими целями.

Общие файловые ресурсы могут быть названы по имени общего ресурса и разрешений, которые они предоставляют, в то время как сервер / путь для этого общего ресурса находится в описании (SHR_<ShareName>_R для чтения, SHR_<ShareName>_M для изменения).

Общие группы доступа к почтовому ящику могут содержать имя почтового ящика и права (GM_<SMTPAddress>_FMR для полного доступа, GM_<SMTPAddress>_SA для "Отправить как").

AD / server Delagation groups может быть именем команды (DLG AD DevOps), DLG SRV BackupAndStorage, и т.д..)

Списки рассылки - единственная странность, потому что они, вероятно, будут называться более или менее так, как указано, потому что люди захотят этого. Но даже тогда вы можете установить для них стандарты, которые подходят вашей организации.

Большинство сред, в которых я работал, не делают этого с атрибутами в учетных записях. Они делают это через организационные единицы и / или стандарты именования. Упрощенный пример может быть таким:

  • (корень домена)
    • Все аккаунты
      • Люди
      • Общие учетные записи
      • Учетные записи служб

Вы можете разделить разные типы счетов, если это имеет смысл. Но в большинстве случаев членство в группах - это все, что вам нужно для дальнейшего разделения ... групп ... людей. Добавление стандартного префикса / суффикса к типам учетных записей, не связанных с людьми, также может упростить просмотр и управление с первого взгляда. Например, все учетные записи служб могут начинаться с «svc.».