Použití skupin zabezpečení Active Directory (AD) a distribučních skupin je osvědčeným postupem pro zjednodušení správy IT, zvýšení zabezpečení a umožnění efektivní komunikace. V mnoha organizacích je však členství v těchto skupinách definováno explicitním seznamem konkrétních uživatelů, počítačů a dalších subjektů. Použití těchto statických skupin je náročné na práci a náchylné k chybám, protože když se zaměstnanci připojí ke společnosti nebo změní role, přidají se nebo odeberou zařízení nebo dojde k jiným změnám, všechny související skupiny je třeba aktualizovat ručně.
Existuje užitečná alternativa, která zlepšuje zabezpečení a snižuje režii IT: dynamické určení členství ve skupině spuštěním dotazu AD. Společnost Microsoft poskytuje uživatelsky přívětivé rozhraní pro vytváření distribučních skupin na základě dotazu LDAP. Bohužel neexistuje žádné odpovídající GUI pro vytváření skupin zabezpečení založených na dotazech — které zahrnují velkou většinu AD skupin; jedinou nativní možností je vytvářet skripty pomocí prostředí Windows PowerShell.
Tento článek vysvětluje nativní metody pro vytváření obou typů dynamických skupin a poté nabízí účinnou alternativu: Smart Groups v Netwrix GroupID.
Distribuční skupiny
Začněme distribučními skupinami, které se častěji nazývají distribuční seznamy. Distribuční seznamy umožňují uživatelům posílat e-mailové zprávy skupinám lidí efektivněji a přesněji. Můžete například vytvořit distribuční seznam pro každé oddělení a tým a také jeden pro každé umístění kanceláře. Tyto distribuční seznamy se objevují v globálním seznamu adres (GAL), takže firemní uživatelé si mohou jednoduše vybrat jednu položku z globálního seznamu adres a odeslat zprávy celé skupině kolegů.
Nevýhody statických distribučních skupin
Vzhledem k tomu, že zaměstnanci se neustále připojují a opouštějí organizaci a mění role v ní, je snaha udržovat distribuční seznamy aktuální pro IT týmy problém. V některých případech nemusí mít ani potřebný přehled, aby zajistili, že seznamy vyplňují správně.
Důsledky neudržování aktuálních distribučních seznamů mohou být vážné. Pokud uživatelé, kteří by měli být na seznamu, nebudou zahrnuti, nebudou dostávat zprávy, které by mohly být důležité pro jejich vlastní produktivitu a pro základní obchodní procesy. Ještě horší je, že nepřesné distribuční seznamy představují problém se zabezpečením a dodržováním předpisů, protože zprávy mohou být zasílány jednotlivcům, kteří by neměli vidět informace, které obsahují.
Distribuční skupiny založené na dotazech
Na pomoc společnost Microsoft zavedla distribuční skupiny založené na dotazech v Exchange Server 2003. Poskytují stejné funkce jako standardní distribuční skupiny, ale členství není určeno statickým seznamem uživatelů. Místo toho je členství dynamicky generováno dotazy LDAP, které se spouštějí vždy, když někdo odešle e-mail přidružené skupině.
Můžete například vytvořit dotaz LDAP, který definuje členství ve skupině jako všechny uživatele, kteří jsou aktuálně v určitém oddělení ve vaší organizaci. Pokud se konkrétní uživatel přestěhuje do jiného oddělení, jakmile je jeho objekt uživatele AD aktualizován, již nebude dostávat e-maily zasílané distribuční skupině – aniž by kdokoli musel ručně upravovat členství v distribučním seznamu.
Dotaz spojený s distribuční skupinou můžete najít v msExchDynamicDLFilter a msExchQueryFilter ve službě Active Directory.
Jak vytvořit distribuční skupinu založenou na dotazech pomocí Microsoft Exchange
Distribuční skupiny založené na dotazech lze snadno vytvořit:
- Spusťte Centrum správy Exchange a v levém podokně vyberte Příjemci.
- Přejděte na Skupiny > Nová > Dynamická distribuční skupina.
- V průvodci Nová dynamická distribuční skupina zadejte následující vlastnosti nového seznamu:
- Název, přezdívka a popis skupiny
- Organizační jednotka (OU), ve které chcete vytvořit skupinu
- Vlastník skupiny (volitelné, ale doporučené)
- Typ příjemců, jako jsou zdrojové poštovní schránky nebo uživatelé, kteří mají poštovní schránky Exchange
- Kritéria pro členství uživatele v distribučním seznamu, jako je jeho oddělení a zeměpisná poloha
- Klepnutím na tlačítko Uložit vytvořte skupinu.
Omezení distribučních skupin založených na dotazech vytvořených prostřednictvím Exchange
Distribuční skupiny založené na dotazech vytvořené prostřednictvím Exchange jsou přesnější a snáze se udržují než statické distribuční seznamy, ale mají některé důležité vlastnosti, které je třeba mít na paměti:
- Atributy pro určení členství v distribučním seznamu jsou omezeny na několik běžných uživatelských atributů – kontejner, stát nebo provincie, společnost a oddělení – spolu s několika vlastními atributy.
- Vzhledem k tomu, že členství v distribučním seznamu je určeno při odeslání e-mailu na tento seznam, firemní uživatelé nemohou zobrazit členy distribučního seznamu ve svém klientovi Outlook, a proto si nemohou být jisti, kdo přesně obdrží zprávu, kterou pošlou do seznamu.
- Dotaz je vyhodnocen pokaždé, když je e-mail odeslán do distribučního seznamu založeného na dotazech. Rozsáhlé využívání těchto skupin proto značně zatěžuje server Exchange a globální katalog.
Bezpečnostní skupiny
Zatímco distribuční skupiny jsou jistě cenné a je třeba je udržovat aktuální, aby byla zajištěna bezpečnost a produktivita, skupiny zabezpečení AD jsou ještě důležitější. Správci se spoléhají na skupiny zabezpečení AD, které uživatelům rychle a přesně poskytují přístupová oprávnění, která potřebují na základě jejich rolí v organizaci. Můžete například vytvořit skupinu zabezpečení s názvem „Sales“ a udělit jí přístupová práva ke konkrétním informacím, aplikacím a dalším zdrojům, které potřebují členové obchodního oddělení. Každý uživatel, který je členem skupiny, automaticky získává všechna přístupová práva přiřazená této skupině.
Nevýhody statických bezpečnostních skupin
Stejně jako u statických distribučních skupin čelí týmy IT neustálému boji, aby zajistily, že členy každé skupiny statického zabezpečení jsou přesně ti správní uživatelé. Ve skutečnosti, jak zaměstnanci v průběhu času mění role v rámci organizace, je běžné, že si udržují členství ve skupinách, které již nejsou relevantní pro jejich povinnosti. Pokud se například někdo přesune z obchodního oddělení do marketingu, často si ponechá oprávnění k prodejním databázím a dalším zdrojům, ke kterým by již neměl mít přístup, protože ho nikdo neodebral ze skupin souvisejících s prodejem. Kromě toho mohou přetížení administrátoři dělat chyby, například přidávat mladšího zaměstnance do skupiny, jako jsou „manažeři“, a tím jim poskytnout nevhodný přístup k citlivým informacím.
Toto nadměrné poskytování je vážným problémem pro zabezpečení i dodržování předpisů. Na druhou stranu IT týmy někdy neudělují uživatelům členství ve všech bezpečnostních skupinách, do kterých by měli patřit, což může narušit důležité obchodní procesy a zatížit helpdesk.
Aktualizace členství ve skupinách zabezpečení pomocí prostředí Microsoft PowerShell
Správci mohou pomocí prostředí Windows PowerShell vytvořit a naplnit skupinu zabezpečení podle dotazu. Mohou také použít skript k aktualizaci členství ve skupině zabezpečení namísto ručního přidávání a odebírání členů. Například následující skript zajišťuje, že skupina zabezpečení PseudoDynamicGroup bude naplněna pouze uživateli v zadané organizační jednotce (požadovaní uživatelé):
Import-modul ActiveDirectory
#Definujte proměnnou 'název skupiny' a načtěte do ní členy skupiny 'PseudoDynamicGroup'.
$groupname = PseudoDynamicGroup
#Definujte proměnnou 'users' a naplňte ji všemi uživateli v zadané organizační jednotce.
$users = Get-ADUser -Filter * -SearchBase "ou=desiredUsers,dc=domain,dc=tld"
#Iterujte uživatele v proměnné 'users'. Přidejte každého z nich do skupiny 'PseudoDynamicGroup', pokud ještě nejsou členy.
foreach($user v $users)
{
Add-ADGroupMember -Identita $groupname -Člen $user.samaccountname -ErrorAction SilentlyContinue
}
#Definujte proměnnou 'members' a naplňte ji aktuálním členstvím v bezpečnostní skupině 'PseudoDynamicGroup'.
$members = Get-ADGroupMember -Identita $groupname
#Iterujte uživatele v proměnné 'členové'. Pokud některý uživatel není v zadané organizační jednotce, odeberte ho z 'PseudoDynamicGroup'.
foreach($member v $members)
{
if($member.distinguishedname -notlike "*ou=desiredUsers,dc=domain,dc=tld*")
{
Remove-ADGroupMember -Identita $groupname -Member $member.samaccountname
}
}
Omezení skupin zabezpečení založených na dotazech vytvořených prostřednictvím prostředí PowerShell
Je zřejmé, že pečlivé vytvoření skriptu PowerShell, jako je tento, pro každou skupinu zabezpečení AD je obrovským úkolem, který vyžaduje specializované dovednosti. Kromě toho je třeba udržovat skripty a při vytváření nových projektů nebo týmů je třeba psát nové. Mnoho organizací jednoduše nemá IT zdroje, které by se mohly věnovat této náročné a kritické práci, což je vede k tomu, že hledají robustní řešení třetí strany, jako je Netwrix GroupID.
Skupiny založené na dotazech s Netwrix GroupID
Pomocí Netwrix GroupID můžete snadno vytvářet distribuční seznamy i skupiny zabezpečení, jejichž členství je dynamicky určováno pomocí dotazů služby Active Directory. Tyto skupiny založené na dotazech se nazývají inteligentní skupiny.
Chcete-li vytvořit inteligentní skupinu, stačí pro skupinu definovat dotaz AD a nastavit plán jeho spuštění. Při každém spuštění dotazu načte objekty z adresáře a aktualizuje členství ve skupině. Dotaz lze spustit ručně nebo automaticky podle definovaného plánu. V důsledku toho, na rozdíl od dynamických distribučních seznamů vytvořených prostřednictvím Exchange, distribuční skupiny Netwrix GroupID nevystavují serveru Exchange nepřiměřenou zátěž spuštěním dotazu pokaždé, když je skupině odeslán e-mail.
Vytváření dotazů
S Návrhářem dotazů v Netwrix GroupID získáte intuitivní vizuální rozhraní pro vytváření dotazů; není potřeba psát příkazy PowerShellu.
Má následující záložky:
- Obecné — Vyberte typ objektů, které mohou být členy skupiny.
- Úložiště — Vyberte poštovní schránky na libovolném serveru Exchange nebo databázi poštovních schránek.
- Identity Store — Zadejte kritéria pro členství ve skupině. Můžete například použít atributy ID místa, společnosti, oddělení nebo zaměstnance a také použít logické podmínky jako AND a OR pro další filtrování výsledků.
- Pokročilé — Použijte externí zdroje dat, jako je Oracle, ODBC, Microsoft SQL Server nebo textové soubory, které vám pomohou určit členství ve skupině.
- Zahrnout/Vyloučit — Přidejte nebo odeberte objekty z členství ve skupině bez ohledu na výsledek dotazu.
- Smart Script – Napište skript založený na vaší vlastní logice pomocí podpory VB Script.
Závěr
Skupiny zabezpečení a distribuční seznamy založené na dotazech jsou neocenitelné pro zlepšení zabezpečení a podnikové produktivity při současném snížení zátěže IT. S nativními možnostmi však může používání dynamických distribučních seznamů přetěžovat vaše prostředky Exchange a vytváření dynamických seznamů zabezpečení vyžaduje mnoho času a odborné znalosti prostředí PowerShell. Netwrix GroupID nabízí výkonnou alternativu: Smart Groups, které usnadňují vytváření a údržbu dynamických skupin zabezpečení a distribučních seznamů.
Zdroj: Netwrix
