Active Directory – planujmy z głową!

Active Directory to usługa katalogowa stanowiąca podstawę wielu środowisk informatycznych. Zawiera informacje o serwerach, użytkownikach, grupach i wszelkich innych obiektach w naszych środowiskach informatycznych. To tam przechowywane są dane o kontach użytkowników i komputerów, ich hasłach, a także informacje o lokalizacji usług (jak np. autodiscover dla MS Exchange czy Skype for Business).

Jak widać, usługa ta jest krytyczna dla funkcjonowania organizacji. Zgodnie ze znaną zasadą mówiącą, że błędy popełnione w fazie analizy są najtrudniejsze do naprawy w późniejszym czasie, warto więc poświęcić chwilę na szczegółowe zaplanowanie wdrożenia Active Directory.

Na co warto zwrócić szczególną uwagę przy planowaniu wdrożenia Active Directory:

• Przejrzysta, hierarchiczna struktura Organizational Unit
  Poświęćmy chwilę na planowanie jaką strukturę będą miały nasze OU. Modeli jest tyle, ile organizacji wdrażających AD – można je oprzeć na lokalizacjach geograficznych, strukturze organizacyjnej przedsiębiorstwa bądź funkcjach poszczególnych działów i użytkowników. Ważne jest, aby zaprojektowany model pozwalał na proste zarządzanie, w razie potrzeby delegowanie uprawnień, czy łatwe przypisywanie GPO (Group Policy Objects) do poszczególnych Organizational Units.
• Konta imienne
  Należy unikać kont generycznych i współdzielonych. Zarówno w przypadku kont z podwyższonymi uprawnieniami, jak i „zwykłych” użytkowników. W przeciwnym razie nie będziemy mieli możliwości identyfikacji użytkownika bądź administratora np. przeglądając logi w poszukiwaniu dokonanych zmian.
• Konwencja nazewnicza
  Bardzo ważny element, który będzie miał ogromny wpływ na przyszłe utrzymanie środowiska. Warto utworzyć dokument opisujący to, jakich zasad będziemy się trzymali przy tworzeniu nowych obiektów w AD – konta użytkowników, grup, komputerów. Zalecane jest unikanie znaków specjalnych. Powinien się tu znaleźć opis tego, w jaki sposób będziemy tworzyli login użytkownika, nazwę grupy itp. Pamiętajmy – użytkownik może mieć np. dwuczłonowe nazwisko, nazywać się tak samo jak inna osoba już istniejąca w organizacji, może mieć znaki specjalne w imieniu bądź nazwisku, nazwisko może być wyjątkowo długie. Nazewnictwo kont specjalnych, technicznych, grup, komputerów – wszystko to powinno być szczegółowo opisane w dokumencie konwencji nazewniczej.
• Konta użytkowników z podwyższonymi uprawnieniami
  Podstawowe konta użytkowników, którymi logują się oni do swoich stacji roboczych, nie powinny mieć podwyższonych uprawnień w Active Directory. Taka sytuacja może doprowadzić do wystąpienia incydentów bezpieczeństwa, np. w przypadku, kiedy użytkownik zapomni wylogować się z komputera. Zamiast tego twórzmy konta administracyjne i delegujmy dla nich uprawnienia, lub umieszczajmy je w grupach podwyższających uprawnienia. Jest to znacznie bardziej bezpieczna metoda.
• Kopia zapasowa i odzyskiwanie 
  Każda organizacja powinna przygotować się na wypadek utraty całości bądź części obiektów Active Directory. Pisałem na początku – AD to podstawa naszego środowiska – zatem jego utrata spowoduje kolosalne problemy w funkcjonowaniu innych aplikacji i systemów. Wykonujmy backup i regularnie testujmy możliwość odtworzenia obiektów AD. Skróci to czas niedostępności systemów po awarii lub błędzie ludzkim.

Zagadnienia powyżej nie wyczerpują rzecz jasna wszystkich tematów, jakie należy wziąć pod uwagę. Warto jednak przeanalizować je i zastosować najlepsze praktyki już na etapie planowania wdrożenia. W dużej, rozwiniętej organizacji zmiana nazewnictwa obiektów czy struktury Organizational Units będzie bardzo trudna.