Thursday, September 25th, 2008...11:10 pm

Zarządzanie AD na turbo doładowaniu

Jump to Comments

W kilku miejscach w sieci można było przeczytać ostatnio o tym, że Quest zakupił NetPro. Informacja ważna pewnie dla klientów NetPro jak i Quest, ale warta odnotowania dla tych którzy pracują z AD i nie tylko. Dla zainteresowanych – oficjalna informacja znajduje się na stronach Quest. Mnie jednak bardziej zainteresowało inne ogłoszenie ze strony NetPro, czyli informacja o uruchomieniu strony TurboChargeAD.org. A na nim nowego, bezpłatnego narzędzia ActiveDirectory Management Console (ADMC).

ADMC w dużym uproszczeniu to nakładka na konsolę MMC do zarządzania katalogiem:

  • serwera ADMC
  • konsoli zarządzającej
  • bazy danych SQL.

Narzędzie to pozwala na zdefiniowanie reguł oraz procesów związanych z zarządzaniem obiektami w katalogu, wykonywanych w reakcji na zdarzenia takie jak utworzenie \ usunięcie czy modyfikacja atrybutu obiektu. W odpowiedzi na takie zdarzenia możliwe jest ustawienie\modyfikacja wybranego atrybutu(ów), przesunięcie obiektu do wskazanego miejsca, sprawdzenie wartości itp. W ramach  przykładu, w dokumentacji narzędzia (PDF)  pokazane zostało jak można dla użytkownik tworzonego w danym OU skopiować wartości dla atrybutów z obiektu nadrzędnego.

Ja ze swojej strony sprawdziłem działanie tych mechanizmów na protych regułach i faktycznie może to być przydatne narzędzie. Co prawda brakuje mi możliwości ewaluowania wartości atrybutów w bardziej zaawansowany sposób (np. sprawdzanie bitów dla wartości) ale i tak możliwe jest stworzenie reguł wymuszających pewne standardy w organizacji. Brakuje mi również możliwości zarządzania członkostwem w grupach, ale to można uzupełnić przy użyciu skryptów wykonywanych przez ADMC.

Nawet bardziej interesująca wydaje się być możliwość tworzenia procesów (workflow), w którym możliwe jest utworznie 3-stopniowego procesu (request, review, approval) dla zmian w katalogu.  W prostym przykładzie, który przetestowałem stworzyłem regułe dla wybranego OU, w którym grupa użytkowników ma wydelegowane pełne prawa do zarządzania obiektami użytkowników.  Reguła ta wymaga zatwierdzenia przez kogoś z grupy Domain Adminis operacji skasowania obiektu użytkownika. W działaniu wygląda to tak:

  1. Kasując obiekty tworzone jest żądanie, które musi zostać uzasadnione (opcjonalnie, konfigurowane w ramach procesu).

     


  2. Administrator na swojej konsoli ADMC widzi nowe żądanie usunięcia obiektu, które może zatwierdzić lub odrzucić. W szczególności pomiedzy tymi dwoam operacjami może jeszcze wystąpić etap przegląd (review) żądania przez wskazanych użytkowników.


  3. Po zatwierdzeniu żadania operacja jest wykonywana natychmiast, lub zgodnie ze zdefiniowanym harmonogramem. Możliwe jest przygotowanie wielu harmonogramów i przypisanie ich do różnych operacji. W ten sposób można spowodować, że na przykład operacje usunięcia kont będą zawsze wykonywane poza godzinami biznesowymi.

Wszystko to zostało skonfiugrowane w ciągu kilku minut i może być uzupełnione o powiadomienia e-mail i kilka dodatkowych opcji (wile osób zatwierdzających operacje itp). Proste, łatwe i przyjemne.

 

Tyle o możliwościach … teraz wady …

… jak narazie zauważyłem jeden problem techniczny. Po instalacji konsoli zarządzania ADMC brak połączenia do serwera, na przykład anulowanie połaczenia do niego przy starcie ADU&C powoduje błędy przy wykonywaniu operacji na obiektach AD.

… druga problem wynika z samej architektury rozwiązania. Ponieważ ADMC integruje się z konsola MMC utworzone reguły i procesy działaja tylko w przypadku modyfikacji danych w katalogu przez tą konsolę. Nie działaja one przy modyfikacji przy pomocy LDP.EXE lub innych narzędzi. Niestety to wada dosyć poważna, która w zasadzie nie pozwala na zastosowanie tego narzędzia w celu zapewnienia zgodności z wymaganiami prawnymi (w końcu NetPro nie chce podcinać gałęzi na której sieci ich Auditor 🙂 ). Napewno może ono nawet pomimo tego faktu wspomagać proces zarządzania użytkownikami tam, gdzie zadania te są delegowane do innych użytkowników lub po ułatwiać życie administratorowi.

 

Podsumowując …

… dla administratorów AD jest to narzędzie zdecydowanie warte przetestowania. Podejrzewam też, że w wielu przypadkach po przetestowaniu i przygotowaniu odpowiedniego zestawu reguł i procesów do wdrożenia. O ile polityka firmy na to pozwala (czasami różnie to z darmowymi narzędziami bywa).

Nawiązując jeszcze do początku tego wpisu i przejęcia NetPro przez Quest. Jackson Show na swoim blogu napisał, że dalsze plany Quest co do TurboChargeAD.org zostaną ogłoszone 15 października. Pożyjemy … zobaczymy. Mam nadzieję, że ADMC będzie nadal dostępne i będzie rozwijane, w jakim kierunku to się okaże. Na blogu narzędzia można wyczytać zapowiedź konsoli dostępnej przez WWW. Filmy prezentujące użycie narzędzia oraz opisy z dokumentacji przedstawiają więcej możliwości niż w chwili obecnej ADMC udostępnia użytkownikowi.

O wynikach ewentulanych testów ADMC i Waszych odczuciach z chęcią poczytam … na przykład w komentarzach.

2 Comments

  • świetne w teorii, ale ten jak i wiele innych przykładów nie zadziałają rzeczywistych warunkach firmy, to przykładowe zwolnienie pociąga za sobą konieczność zbackupowania profilu usera /danych/, nie wszystkie firmy z różnych powodów używają profili mobilnych, rozwiązanie to może być pomocne jak piszesz, ale w przypadku oddelegowania takich uprawnień działom/operatorom IT w oddziale firmy, nie widzę tego w praktyce na przykładzie: przełożony zwalnianego usuwa konto, administrator zatwierdza usunięcie.
    być może skorzysta z tego 1% administratorów w korporacjach oraz grupa laboratoryjna na uczelni 😉

  • To co opisalem to tylko przyklad – sposob uzycia narzedzia zalezy od potrzeb. Czy akurat to narzedzie znajdzie zastosowanie w firmach to nie wiem. Quest\netpro pewnie wykorzystaja je jako podstawe do budowania czegos wiecej.

    Sam proces jako taki jest czesto realizowany w firmach w ten czy podobny sposob. Przewaznie przez dedykowane rozwiazanie, niekoniecznie takie jak tutaj przedstawione. W koncu dlaczego administrator ma sie zajmowac czyms takim jak zarzadzanie kontami uzytkownikow :). Wbrew pozorom, nie jest to najwazniejsze zadanie dla administratora uslugi.

    Co do samego procesu, ktory opisales to mam jedno zastrzezenie – jezeli juz to administrator usuwa konto a przelozony zatwierdza ta akcje. To przelozony jest biznesowym wlascicielem uzytkownika, a administrator zarzadza tylko usluga. Tak to niestety jest … 🙂

    Co do samego zwalniania – to ostatnio pisal o tym trochę Paweł, polecam:
    http://wampir.mroczna-zaloga.org/archives/442-Bo-zwalnia-…-rozwinicie.html
    Teraz sie zbieram zeby cos do tego dopisac 🙂

Leave a Reply