Если у меня возникнет ситуация, когда группы безопасности и рассылки используются не по назначению, а для общих файловых ресурсов используются очень либеральные разрешения, что будет лучшим способом справиться с этим?
Существуют ли какие-либо признанные в отрасли инструменты, которые я мог бы использовать для очистки неактивных / устаревших / неиспользуемых объектов и более эффективного управления разрешениями? Я хотел бы несколько предложений.
Существует ли такая вещь, как документ управления Active Directory? Любые ссылки высоко ценятся.
У меня слишком много вложенных групп, до четырех уровней глубины, что мне делать?
Наконец, у меня слишком много групповых политик в AD. Доступны ли другие способы доставки приложений?
Нет. По всем пунктам, правда.
Например, в одной крупной, хорошо известной многонациональной стране, где я живу, более 25 000 GPO. Итак, хотя вы можете подумать, что у вас слишком много объектов групповой политики и слишком большая сложность (и вы вполне можете), это не проблема, которую действительно можно решить. В крупных, сложных организациях со сложными отношениями есть большие и сложные каталоги. Никакого другого пути.
Единственное реальное решение - это надлежащее проектирование, обеспечение соблюдения и администрирование вашей структуры AD ... что также является непростой задачей или чем-то, что можно решить с помощью «нескольких инструментов». И, опять же, даже при наличии надлежащего дизайна и политик вы получите относительно большой и сложный AD. Это просто природа этого типа данных - их много, и они отслеживают множество взаимосвязей и зависимостей, так что это сложно. Природа зверя.
Ваша первая цель - решить, как вы хотите организовать / разработать структуру и иерархии AD, что само по себе является проектом.
Как только вы это уладите, вам следует перейти к составлению отчетов в вашей текущей среде, что также является нетривиальной задачей. Для этого существует множество инструментов, включая простые старые скрипты для запроса и выборки данных через LDAP, а также сторонние инструменты. Инструменты отчетов Quest для Windows и Active Directory вероятно, будет вашим «отраслевым стандартом», о котором вы спрашиваете, но они дорогие и ни в коем случае не серебряная пуля. Например, при редизайне AD, который я сделал для компании с ~ 1000 сотрудников, отчет о правах доступа к файлам на их файловых серверах генерировал таблицы Excel с более чем четвертью миллиона строк.
Затем, когда вы выяснили, где вы хотите быть и где находитесь сейчас, вам нужно спланировать, как туда добраться. И, конечно же, это нужно делать во время работы среды, потому что вы не можете полностью отключить AD на пару месяцев, пока вы разбираетесь со всем. Стоит отметить, что это часто приводит к пониманию того, что легче и лучше создать целый новый домен или лес, в который вы «переносите» существующую среду.
Наконец, как только вы все это сделаете, обязательно установите политики и процедуры. и принудительно чтобы защитить структуру и организацию новой и / или очищенной AD, иначе вы быстро вернетесь к тому же беспорядку, с которого начали.
Много работы.
В зависимости от размера и степени дезорганизации среды AD вам может быть лучше просто задокументировать среду AD, справиться с низко висящими плодами и реализовать политики по мере очистки определенной области. Например, очистка членства в группах путем удаления бывших сотрудников и пустых групп и реализация процедуры разделения сотрудников, такой как «запустите следующий сценарий, чтобы определить членство в группах и удалить бывшего сотрудника из всех групп».
но как бы то ни было, для этого нет инструмента, и для этого потребуется немало усилий.