Active Directory door de jaren heen, deel 1 (Informatiebeveiliging) - IT-professional Community Blog
Zoeken binnen blogs.microsoft.nl

IT-professional Community Blog

Active Directory door de jaren heen, deel 1 (Informatiebeveiliging)

May 19 2011, 09:44 AM

adlogoAuthenticatie, autorisatie en auditing zijn de belangrijkste bouwstenen van beveiliging voor een netwerkomgeving. Dit drietal zorgt ervoor dat medewerkers zich dienen te legitimeren aan de hand van bijvoorbeeld een wachtwoord en/of smartcard, dat zij aan de hand van deze legitimatie toegangsrechten krijgen en dat al hun bewegingen kunnen worden bijgehouden. Active Directory is de basis voor de implementatie van dit AAA-protocol.

Uitdagingen

Beveiliging kan, naarmate een netwerkomgeving groeit, een beheerder boven het hoofd groeien. Op een bepaald moment zijn er meerdere beheerders nodig en dan steken de echte uitdagingen de kop op. Juist in Active Directory zijn de laatste paar jaren vele nieuwe functionaliteiten toegevoegd om deze uitdagingen het hoofd te bieden. Met Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 werd steevast nieuwe functionaliteit geïntroduceerd.

Meerdere beheerders

Dagelijks Active Directory beheer bestaat uit het aanmaken, aanpassen en verwijderen van gebruikers-, computer- en groepsobjecten. Binnen een groep van beheerders kan het onaangenaam confronterend zijn wanneer een ander iets (per ongeluk) weg mikt, dat net werd aangemaakt. Functionaliteit, zoals Protect Against Accidental Deletion (standaard enabled voor OUs in domeinen vanaf Windows Server 2008)en de Active Directory Recycle Bin, bieden goede oplossingen voor dit soort situaties.

Naleven van naming conventions

Het niet nakomen van naming conventions maakt van een Active Directory omgeving een ondoorzoekbare hoop gegevens. Met de Active Directory PowerShell cmd-lets onder de motorkap, kunnen beheerders zelf een script en/of portal maken waarin beheerders hun beheertaken eenduidig kunnen uitvoeren.

Linkerhand, rechterhand

Bij grote afdelingen speelt verder mee dat een beheerder vaak niet weet wat zijn collega’s uitspoken, maar wel eindverantwoordelijk is voor de Active Directory. Knap ongemakkelijk. Met de Active Directory Best Practices Analyzer kan middels een scan een overzicht worden verkregen van de technische staat van de Active Directory omgeving en of er instellingen zijn die correct functioneren ondermijnen. Mocht dit zo zijn, dan kan via de meer uitgebreide Active Directory auditing subcategorieën worden achterhaald welke beheerder een specifieke instelling op zijn of haar geweten heeft en wat er voor de wijziging was ingesteld.

Meer doen met minder bandbreedte

Active Directory Users and Computers (dsa.msc) wil bij grote beheerafdelingen nog wel eens leiden tot time-outs. Het RPC-protocol dat wordt gebruikt om de Active Directory te beheren is niet te configureren. Met de Active Directory Web Services kunnen quota worden ingesteld per BeheerPC, waardoor vat kan worden gekregen op de bandbreedte richting specifieke Domain Controllers .

Hetzelfde doen met minder hardware

Tot slot, vergt het beheer van dertig Domain Controllers meer dan het beheer van vijftien Domain Controllers. Read-only Domain Controllers verminderen het aantal kopzorgen, maar echt schrappen in het aantal Domain Controllers kan pas echt sinds de Fine-grained Password Policies. Wanneer binnen een organisatie meerdere wachtwoordbeleidsinstellingen dienen te worden geconfigureerd, dan hoeft niet langer een separaat Active Directory domain te worden gemaakt (en uitgevoerd met twee Domain Controllers volgens de best practices).

 

Concluderend

Active Directory biedt een authenticatie, autorisatie en auditing (AAA-) oplossing voor kleine en zeer grote omgevingen. De laatste paar versies van Active Directory lag een accent op het gemakkelijker beheren van Active Directory met een grotere groep beheerders. Zowel Domain Controllers op basis van Windows Server 2008 als op Windows Server 2008 R2 bieden oplossingen voor veelvoorkomende uitdagingen.

Er lagen ook accenten op andere gebieden. Hierover meer in de volgende delen van deze serie!


LiveAccountPictureFramed_thumb_3CA51[2]Sander Berkouwer is een IT-professional, werkzaam voor Operator Groep Delft (OGD). Hij is een Microsoft Most Valuable Professional (MVP) voor Directory Services. Andere plekken op het Internet naast het IT Pro Community Blog, waar je Sander kunt volgen zijn Sanders blog op de DirTeam.com/ActiveDir.org Weblogs (Engelstalig). Hij is coauteur van de Nederlandstalige TechNet-Nieuwsbrief en daarnaast loop je grote kans Sander tegen het lijf te lopen tijdens Microsoft evenementen. Als gewaardeerd spreker is hij meestal wel op een manier betrokken bij de Microsoft IT Pro evenementen.

Wat denkt u?

(Verplicht) 

(Verplicht) 

(Optioneel)

(Verplicht) 
CaptchaCube Vraag:


Antwoord: