Portal Zarządzających Bezpieczeństwem

Obecnie, kiedy polityka grupowa staje się coraz ważniejsza, istnieją także opcje delegowania. Zrozumienie, gdzie można ustanowić delegowanie oraz jak delegować pewne zadania może pomóc zbudować bezpieczniejszą i wydajniejszą sieć.

Od kiedy Microsoft wypuścił Windows 2000, delegowanie określonych zadań stało się możliwe. Pojęcie delegowania może być nieco niejasne, jednak ważne jest to, co ono dostarcza dla osiągnięcia sprawnie pracującej sieci. Bez delegowania, bylibyśmy skazani na domyślne grupy, posiadające przywileje administracyjne dla określonych zadań i obiektów. Na przykład bez możliwości delegowania dla kont pojedynczego użytkownika jak i grup użytkowników, użytkownik musi być umiejscowiony w grupie „Account Operators”, co umożliwia zarządzanie użytkownikami, grupami oraz komputerami w danej domenie. Oczywiście, użytkownik mógłby być również umiejscowiony w grupie „Domain Admins” lub „Enterprise Admins”, ale to dałoby mu zbyt wiele uprawnień poza zarządzaniem kontami. Podobnie, umieszczenie użytkowników w grupie „Account Operators”, również dałoby im zbyt wiele uprawnień, takich jak modyfikowanie nie tylko kont użytkowników, ale wszystkich kont administracyjnych. Delegowanie rozwiązuje ten problem, ponieważ umożliwia bardzo szczegółowe delegowanie do obiektów i zadań w całej sieci przedsiębiorstwa.

Kiedy już zdecydujesz, żeby usprawnić sieć poprzez wprowadzenie delegowania, należy rozważyć następujące czynniki:

1. Kto otrzyma delegowane przywileje?
2. Które zadanie zostanie oddelegowane do grupy użytkowników?
3. Kontrola nad którym obiektem zostanie oddelegowana do grupy?
4. Gdzie dokona się oddelegowanie?
5. Jakie specyficzne uprawnienia skonfigurować w celu osiągnięcia oddelegowania?

Jeżeli zajmiemy się każdym z tych punktów osobno, szybciej uda nam się zgłębić dane pytanie od strony praktycznej.

Przede wszystkim idealnym rozwiązaniem jest utworzenie grup, którym przydzielimy uprawnienia delegowania. Tym sposobem łatwiej będzie dodać użytkowników jak i pozbawić któregoś z nich danego przywileju.

Po drugie: nie wszystkie zadania mogą być delegowane. Dlatego powinna być utworzona lista możliwych oddelegowań. Utworzymy te listy później, dzięki narzędziom, gdzie te można ustanowić te oddelegowania. Skoro mamy taką listę, łatwiej nam będzie określić i wybrać, które oddelegowania chcemy przydzielić.

Przy delegowania obiektów, trzeba bardzo szczegółowo określić co się chce delegować. Czy chcesz pozwolić innym na kontrolowanie kont użytkowników, czy tylko niektóre z właściwości kont użytkowników? Możesz także wybrać grupy, komputery, jednostki organizacyjne, Obiekty Polityki Grupowej (GPO – Group Policy Objects), itp.

Jedną z najistotniejszych kwestii jest znajomość, gdzie można dokonać konfiguracji delegowania. Istnieją trzy podstawowe narzędzia, gdzie tego można dokonać. Wszystkie te narzędzia przeanalizujemy później.

I w końcu, kiedy już wejdziesz do narzędzi i wiesz, co chcesz delegować, musisz wiedzieć, gdzie kliknąć i co zaznaczyć, żeby osiągnąć swoje cele. Niektóre delegowania są łatwe, podczas gdy inne wymagają wcześniejszych testów i oceny zanim się upewnić, że zostały osiągnięte.

Active Directory (AD) posiada pełny i wszechstronny składnik delegowania. Jeśli nie używasz delegowania w AD, wtedy nie wykorzystujesz jednego z najważniejszych powodów jego istnienia. Delegowanie w AD umożliwia administratorowi skonfigurowanie grup użytkowników, tak żeby mieli oni dostęp do określonych zadań. Korzyść z tego jest taka, że określone zadania mogą być ściśle określone, co powoduje zmniejszenie potrzeby administracyjnej kontroli jedynie do kontroli tych zadań, które są danej grupie użytkowników przydzielone.

Moim zdaniem, podstawą do zrozumienia delegowania w AD, jest uświadomienie sobie jego możliwości. Microsoft, wprowadzając Server 2003, dodał kilka opcji. Ciągle jednak występuje nieograniczona ilość opcji dla delegowania kontroli administracyjnej. Oto lista obiektów, które są zwykle konfigurowane przy pomocy oddelegowanej kontroli:

• konta użytkowników
• konta grup
• jednostki organizacyjne
• konta komputerowe

Chociaż wymieniam wszystkie obiekty, które mogą być kontrolowane, ważnym jest zrozumienie ograniczeń przy delegowaniu dla każdego obiektu. A konkretnie pragnę omówić jakie oddelegowania są możliwe dla użytkownika, grupy oraz kont komputerowych.

• zmiana haseł
• zarządzanie kontami użytkowników
• zarządzanie grupami
• zmiana członkostwa w grupie
• dodanie komputera do jednostki organizacyjnej
• komputery maja małą kontrolę….. wprowadź prawa użytkownika poprzez GPO (Group Policy Object)

Niektóre z oddelegowań są widoczne na rys.1.

Konsola Zarządzania Polityką Grupową (Group Policy Management Console - GPMC)

Konsola GPMC dostarcza środowiska, które umożliwia administrowanie obiektami polityki grupowej (GPO), ale również chroni tych, którzy mogą zarządzać tymi obiektami. Wraz z wprowadzeniem konsoli GPMC, zarządzanie i delegowanie wszystkich GPO zawarte jest w tym narzędziu. Pragnę wyjaśnić, że GPMC dostarcza jedynie możliwości delegowania zarządzaniem GPO, nie można natomiast oddelegować zarządzania AD. Dlatego, jakakolwiek inna kontrola jednostek organizacyjnych, użytkowników, grup, itp. musi być dokonana przy pomocy ADUC (Active Directory Users and Computers).

Dla oddelegowań, które są możliwe przy pomocy GPMC, występują następujące opcje:

• utwórz obiekty GPO
• edytuj obiekty GPO
• usuń i zarządzaj bezpieczeństwem obiektów GPO
• połącz obiekty GPO
• przeczytaj ustawienia GPO

Pewne z tych oddelegowań są widoczne na rys.2.

Rys.2: Oddelegowania konsoli GPMC do kontroli i zarządzania obiektami GPO

Kiedy utworzenie obiektów GPO jest gotowe dla „domeny”, nie ma mechanizmu ich kontroli w ramach jednostki organizacyjnej. Jednakże, możesz ustalić, kto będzie uprawniony do łączenia obiektów GPO z jednostkami organizacyjnymi, co zapewnia trochę kontroli nad zadaniami, które pragniesz delegować w sposób bardziej szczegółowy. Łączenie obiektów GPO może być oddelegowane do poziomu domeny, jednostek organizacyjnych albo miejsc, ponieważ są to jedyne węzły sieci, gdzie obiekty GPO mogą być łączone. Edycja, zarządzanie, usuwanie i odczyt obiektów GPO jest delegowane dla każdego GPO, co daje bardzo szczegółową kontrolę nad tymi oddelegowaniami.

Advanced Group Policy Management (AGPM)

Ostatnią częścią modelu delegowania dla AD i obiektów GPO jest AGPM (Advanced Group Policy Management). To narzędzie umożliwia dokonanie ostatecznego skonfigurowania zarządzania GPO. Konsola Zarządzania Polityką Grupową jest wspaniała z powodu tego, czego może dokonać. Jednak brakuje jej zasadniczych funkcji zarządzania, które posiada AGPM. AGPM posiada następujące możliwości, których nie posiada GPMC:

• edytowanie obiektów GPO off-line
• zmiana zarządzania modyfikacjami GPO
• wycofanie i wprowadzanie do archiwalnych obiektów GPO
• automatyczne robienie kopii zapasowych obiektów GPO w czasie modyfikacji

Pewne z tych oddelegowań są widoczne na rys.3.

Rys.3: Opcje zarządzania oddelegowaniami AGPM

Przy pomocy AGPM możesz delegować zadania dla każdej osoby w firmie. Interfejs AGPM dostarcza doskonałego rozwiązania dla administratora do edycji GPO. Edycje te nie będą miały wpływu na pracujące komputery, dopóki nie zostaną one zatwierdzone przez administratora uprawnionego do delegowania.

Podsumowanie

Przy pomocy tych trzech rozwiązań masz nieomal wszystko to, co kiedykolwiek może być potrzebne do delegowania odpowiedzialności i zadań dla AD i obiektów GPO. ADUC zapewnia doskonałe rozwiązanie dla zadań związanych z AD, poza zarządzaniem GPO. Zarządzanie GPO może być dokonane przy pomocy GPMC albo AGPM. Kombinacja obu tych narzędzi dostarcza doskonałego rozwiązania dla całkowitego zarządzania GPO. Kiedy już ustalisz oddelegowania w tych narzędziach, będziesz miał bardziej wydajny model zarządzania. Będziesz miał również pewność, że administratorzy mogą zmienić jedynie to, co sam określisz.

Źródło: www.windowsecurity.com