Capacidade de delegar com segurança a redefinição de senha no Active Directory com o ADManager Plus da ManageEngine

Muitas pessoas tem pregado por anos sobre o quão poderoso o Active Directory é na capacidade de delegar o controle sobre determinadas tarefas e certos objetos no Active Directory. Uma das delegações mais óbvias é dar a um um grupo de usuários a capacidade de redefinir senhas para um grupo diferente de usuários. Existem algumas questões que utilizam a solução da Microsoft, e esses problemas podem causar configurações inseguras, delegações difíceis de relatar e acesso ao AD que é difícil de encontrar e remover.

Só para ver a solução Microsoft, vejamos um exemplo. Digamos que você tenha um par de técnicos que você quer que sejam os responsáveis por redefinir senhas dos funcionários de RH. Assim você cria um grupo chamado HR_PASSWORD_RESET e adicione os técnicos nesse este grupo. Você, então, delega o controle com esse grupo sobre a unidade organizacional HR. Você usaria o Assistente de controle de delegação que é construído dentro de Usuário e grupos do Active Directory.

Esta parece ser uma opção razoavelmente direta ao usar Usuários e Computadores do Active Directory, e é em primeiro lugar. A parte difícil é tentar determinar o quais as delegações foram feitas e sobre quais componentes do Active Directory. Não há opção GUI para ver as delegações! Não há são ferramentas de relatórios embutidos especificamente para visualização delegações! Então, quais são suas opções? Em primeiro lugar, você pode usar a guia Segurança, localizada na página Propriedades para o nó do Active Directory (domínio ou OU) para qual a delegação foi feita. Em segundo lugar, você pode usar uma ferramenta como o DSACLS, que irá mostrar-lhe as permissões (semelhante ao guia Segurança) em um arquivo de texto. Ah … quase esqueci … o Assistente de controle de delegação é uma ferramenta apenas de configuração, ela não pode remover as delegações!

Então, por que isso é um problema? Imagine que você é uma empresa de tamanho normal. Você pode ter 5.000 funcionários; 12.000 grupos; 6.000 computadores; e 500 unidades de organização. Quanto tempo levaria para que você possa auditar as delegações que foram feitas em cada um dos nós do Active Directory? Confie em mim, fizemos isso por mais de 1.000 unidades organizacionais e leva algum tempo. Se você perder uma delegação, isso significa que um grupo de usuários tem controle sobre objetos do Active Directory e você não está ciente disso!

Como uma alternativa para a criação de um pesadelo de segurança para sua empresa Active Directory, a ManageEngine tem uma ferramenta, ADManager Plus, que é ideal para as delegações sobre os objetos no Active Directory. O ADManager Plus é ideal para muitas razões:

  1. As delegações são facilmente personalizadas para definir exatamente sobre o que você quer dar controle;
  2. As delegações podem ser facilmente auditadas usando a GUI do ADManager Plus;
  3. As delegações podem ser configuradas e facilmente removidas;
  4. As delegações são feitas100% através do ADManager Plus, por isso permissões não são modificadas sobre os objetos atuais do Active Directory. Isso proíbe o usuário de contornar o ADManager Plus para acessar os objetos através de outra ferramenta.

Vamos dar o nosso exemplo inicial e colocar isso em prática usando o ADManager Plus. Ele utiliza Help Desk Roles em vez de grupos para organizar as delegações. Assim, você irá criar uma nova função Help Desk que será para a alteração de senhas para o HR OU. Fazendo isso, você terá de escolher a delegação correta que é tão fácil quanto selecionar as caixas de seleção para função.

Você poderá ver claramente que o ADManager Plus tem muito mais delegações do que o assistente de controle de delegação para computadores e usuários do Active Directory.

Em seguida, você só precisa associar as pessoas (técnicos) com as delegações (funções de Help Desk).

Um último ponto chave sobre o ADManager Plus. A ferramenta fornece uma excelente solução para intermediar por proxy as delegações. As listas de controle de acesso reais para as delegações não são modificadas. Isto significa que se o usuário que concedeu as delegações no ADManager Plus tenta usar os Usuários e Computadores do Active Directory (ou qualquer outra ferramenta de LDAP), então ela não conseguirá gerenciar os objetos usando esse meio. Este controle é gerenciado durante a criação do técnico e é uma simples caixa de que indica que o técnico será representado e o ACL não será modificado.

Usar o ADManager Plus é uma solução muito mais limpa, mais fácil, mais robusta, e auditável do que tentar usar o Assistente de Controle de Delegação e ADUC. Com esta solução, você é capaz de negar muitas das questões negativas relacionadas ao uso da solução Microsoft. Reportar, garantir que as configurações corretas estão no lugar, e ser capaz de remover rapidamente delegações sobre AD são apenas alguns dos benefícios de utilziar o ADManager Plus.

Deixe um comentário