Jak prawidłowo delegować uprawnienia w Active Directory
Transkrypt
Jak prawidłowo delegować uprawnienia w Active Directory
Obrona Jak prawidłowo delegować uprawnienia w Active Directory Paweł Baszkowski IT Studio stopień trudności Delegowanie uprawnień w AD to przydatne przypisywanie pewnej liczby spraw związanych z bezpieczeństwem i ułatwianie zarządzania zadaniami. Dzięki właściwemu zdelegowaniu uprawnień w AD masz możliwość określenia wybranych ról w środowisku, ograniczenia natłoku i błędów administracyjnych oraz zdefiniowanie zasad uprawnień w twojej sieci. W iele przedsiębiorstw używających serwerów pocztowych Microsoft Exchange z Active Directory boryka się z mocą uprawnień. Spowodowane jest to po części złożonością modelu delegowania uprawnień dla wielopoziomowej organizacji. Najtrudniej jest właściwie dopasować model do własnej organizacji. Nie jest to jednak niemożliwe, istnieje kilka prostych sposobów, jakie mogą być zastosowane z lekką modyfikacją dla większości struktur IT. Każde środowisko jest inne w sposobie, kształcie, a także formie. Jednak największe środowiska są do siebie podobne pod kątem wyzwań IT. Dla przykładu, wiele organizacji jest podzielonych geograficznie na regiony, niezależne zespoły inżynierów, operacyjne, wsparcia IT, będące własnymi Business Units. A także wiele dużych organizacji musi radzić sobie z takimi sprawami, jak eskalacja uprawnień, nadużywanie kont systemowych o wysokich uprawnieniach i kwestiach związanych z zaufaniem. Zaufanie jest interesującym zwrotem i często bywa wykorzystywane w utrzymywaniu wielu gałęzi drzewa Active Directory. Problematyka ta często ma wielki wpływ 2 hakin9 Nr 5/2007 na dostępność systemu innej dywizji czy regionu. Powszechnie spotykane jest, że występują różne poziomy dostępu pomiędzy granicami organizacyjnymi oraz braki w wiedzy dotyczącej specyficznych systemów wymaganych, by wspierać konkretny region lub organizację. Dodatkowo, dywizje często nie chcą oddać uprawnień administratorskich do centrali firmy. W międzyczasie dla każdego wdrożenia Active Directory administratorzy muszą zdefiniować zasady współdziałania dla aplikacji, Z artykulu dowiesz sie... • • • • na temat Active Directory sposobu delegowania uprawnień w AD definiowanie roli administratora tworzenie OU i modelu bezpieczeństwa Powinieneś wiedzieć... • • • • www.hakin9.org zasady administrowania siecią dzielenia obowiązków definiowania uprawnień wstępna znajomosc IT/Telek., m.in. AD Jak delegować uprawnienia w Active Directory które utylizują infrastrukturę Active Directory. Niestety, często spotykany cel w procedurach instalacji aplikacji to stworzenie konta systemowego jako członka grupy Domain Admins. Problem, jaki się z tym wiąże to fakt, że te konta mają podstawowe uprawnienia. Równoważąc uprawnienia tych kont z uprawnieniami Domain Administrator stwarzamy znaczące zagrożenie dla środowiska IT. Konta systemowe z łatwością mogą być nadużywane poprzez niebezpiecznych lub beztroskich administratorów lub wykorzystane jako środek do osiągnięcia celu przez atakujących, którzy odkrywają podstawowe sprawy związane z bezpieczeństwem w aplikacji. Podczas gdy te próby mogą się okazać nieprzezwyciężone, określają one scenariusz standardowy dla implementowania modelu delegowania w Active Directory (AD). Stworzenie modelu delegowania uprawnień jest interaktywnym projektem. Zalecane jest wykonanie poniższych predefiniowanych kroków: • • • • określić role administracyjne (IT) w twej organizacji określić Organizational Unit (OU) i model Security Group ustanowić drugorzędne konta dla IT administratorów delegować uprawnienia. Jest to trudny proces. Przyjrzyjmy się szczegółowo tym krokom. Określenie ról Proces definiowania rozpoczyna się poprzez jednoczesne zrozumienie administrowania danymi i usługami. Te koncepcje są podstawą każdego prawidłowego modelu delegowania uprawnień Active Directory. Administracja usługami to zarządzanie krytycznymi katalogami usług, struktur komponentów, takich jak serwery Exchange i kontrolery domeny. Zarządzanie danymi to zarządzanie obiektami, takimi jak konta pocztowe i konta użytkowników, które rezydują z tymi usługami. Dzięki zakresowi Active Directory, admini- stratorzy usług są ciągle odpowiedzialni za dostawy i osiągalność usług katalogowych, podczas gdy administratorzy zarządzają kontami użytkowników i serwerów oraz innymi zasobami domenowymi. Active Directory wspiera delegowanie uprawnień poprzez Organizational Unit (OU). OU może być często dostosowywany tak, by zapewnić ten sam poziom autoryzacji, jaki jest dostępny dla administratorów z już istniejących katalogów usług lub modeli domenowych. Ważne jednak jest to, by rozumieć jak niektóre funkcje po prostu nie mogą być delegowane i muszą być zarządzane poprzez pojedynczą zaufaną grupę lub jednostkę. Analiza zadań jest równie krytyczna. Musisz wiedzieć, które zadania Active Directory są przeprowadzane przez administratorów i jak te zadania mogą być korelowane do konkretnych ról. Dla przykładu tworzenie nowego site Active Directory jest zadaniem administracyjnym serwisowo-usługowym, podczas gdy modyfikacje członkostwa w grupie bezpieczeństwa to zadanie dla administratora danych. Każde zadanie powinno być porównane pod kątem częstotliwości, ważności i trudności. Są to główne aspekty określania zadań, kiedy uprawnienia muszą być delegowane. Zadania są wykonywane rutynowo, wiąże się z nimi określone ryzyko oraz są stosunkowo proste do wykonania, a także wymarzone do zdelegowania. Z drugiej strony, zadania, które są wykonywane rzadziej, mają większy wpływ w organizacji i wymagają wyższych umiejętności. Są w związku z tym trudniejszymi kandydatami do oddelegowania. Zamiast tego tymczasowe zwiększanie uprawnień dla konta do wymaganego poziomu lub zmiana zadania jest właściwą ścieżką dla tych zadań. Mimo że wiele dużych organizacji funkcjonuje na podobnych podstawach, zawsze bezpieczniej jest założyć, że model delegowania uprawnień może być zaimplementowany. Dla celów www.hakin9.org O autorze: • • • • własciciel i założyciel IT Studio to inż. informatyk, doświadczenie w branży IT zarządzał sieciami i telekomunikacją w logistyce i bankach kierował i uczestniczył w wielu wdrożeniach i projektach informatycznych [email protected] dydaktycznych przedstawiony jest testowy zbiór ról, które udostępniają możliwości zarządzania. Granice oorganizacyjne i sprawy związane ze zmianą uprawnień (tj. dostępność zewnętrzna kontrolerów domeny) są zdefiniowane. Proszę mieć na uwadze, że ten model to tylko przykład – jest on jednak świetnym startem dla dyskusji w twej organizacji, ale nie powinieneś planować, by użyć go jako argument w dyskusji. Niektóre role są od razu określone przez Active Directory, a niektóre muszą być stworzone z niczego, by wyjść poza model delegowania. Przykład gotowy do zastosowania dla wielu dużych środowisk organizacji Active Directory może zawierać Enterprise Admins, Domain Admins, i administratorów usług, Regional Admins i administratorów zarządzających danych. Administratorzy usług Przyjrzyjmy się rolom administratorów usług. Administratorzy usług zarządzają krytycznymi komponentami infrastruktury, a wszyscy administratorzy którzy należą do tej grupy są wysoce uprzywilejowani. Dlatego też powinniśmy zaimplementować strategię o koniecznej ilości uprawnień, taką która oznacza przyznawanie minimum uprawnień niezbędnych do przeprowadzania określonych zadań. Taka taktyka jest ściśle zalecana. . Grupy Enterprise i Domain Admins w Active Directory definiują dwie grupy specjalnych administratorów, których uprawnienia są wymagane w celu prawidłowego hakin9 Nr 5/2007 3 Obrona funkcjonowania krytycznych funkcji AD. Te grupy są odpowiedzialne za najwyższy poziom administrowania usługami. By zminimalizować ryzyko dziedziczenia w takich wysoko uprzywilejowanych grupach, zalecane jest ograniczanie dostępu do tych grup. Grupa Enterprise Admins nie powinna mieć stałych członków, a grupa Domain Admins powinna zawierać jedynie małą, zarządzalną grupę zaufanych osób, które pracują dla organizacji na pełen etat. Gdy muszą być wykonane zadania administratorskie, takie jak autoryzacja DHCP w Active Directory, członkowie grupy Domain Admins w domenie nadrzędnej lasu AD mogą otrzymać wymagane uprawnienia poprzez ustanowienie przynależności do grupy Enterprise Admins. Takie uprawnienia powinny być przyznawane tylko na krótkie okresy czasu, w celu uniknięcia tworzenia stałych członków w grupie Enterprise Admins. Oczywiście, wszyscy członkowie grupy Domain Admins w danym lesie Active Directory powinni być osobami, którym można zaufać w równym stopniu. Typowym błędem, który popełnia większość organizacji podczas rozwoju modelu delegowania uprawnień jest blokowanie lub zmniejszanie roli wbudowanych grup czy innych komponentów. Powszechne jest myślenie, że modyfikacja tych domyślnych ról może mieć nieprzewidywalny skutek, nie ma gwarancji, że sevice pack czy aktualizacje oprogramowania przywracają te ustawienia. Dodatkowo, ten typ modyfikacji tworzy niewspierane środowisko poza organizacją. Praktyczny cel polega na tym, by użyć wbudowane grupy i role, ale ograniczyć członkostwo. By to zrobić, prawdopodobnie musiałbyś stworzyć nowe role dla administratorów, którzy wcześniej przynależeli do grup takich jak Domain Admins. Administratorzy grupy powinni składać się z administratorów usług scentralizowanych, którzy zapewniają wsparcie dla wszystkich usług organizacji. Mimo, że jest to stworzona rola, usługi katalogowe i dostępy systemowe mogą być dopasowane do specyficznych wymagań twojej organizacji. Podczas gdy członkowie tej grupy są administratorami usług, mogą również dokonywać okazjonalnie innych, bardziej rozległych, zadań zarządczych. Mamy więc różne typy systemów i różne obszary odpowiedzialności, role te są rozdzielone w różne podgrupy w ramach katalogu. Na przykład, pojedyncze grupy powinny być stworzone tak, aby zapewnić dyskretne zarządzanie specyficznymi systemami, takimi jak serwery Exchange. Ta grupa także służy jako punkt eskalacji dla administratorów danych. Inne powszechne stanowisko określa przynależność do grupy Domain Admins z powodu przyznania uprawnień administratorskich na każdym systemie w danej domenie. Cała sztuka polega tu na zezwoleniu administratorom usług na tylko wymagane uprawnienia, by kontrolować serwery korporacyjne bez dodawania ich do grupy Domain Admins. W celu ograniczenia rozprzestrzeniania uprawnień, administratorzy ci powinni posiadać nadane uprawnienia do wbudowanej grupy administratorów na kontrolerach domeny, w związku z posiadaniem przez tą grupę wielu podległych uprawnień do katalogu usług, które nie mogą być rozdzielone. Dla przykładu, członek wbudowanej grupy administratorów wybranej domeny może zarządzać członkostwem w grupie Domain Admins, umożliwiając członkom zmianę uprawnień bez dokonywania sprawdzenia. Pamiętając o zasadzie nie przekazywania domyślnych uprawnień, ryzyko może być ominięte poprzez stworzenie grupy zagnieżdżonej w grupie Server Operators i wbudowany w grupę domenowy DNS Admins. To umożliwi lokalne zarządzanie kontrolerami domeny limitując możliwość rozprzestrzeniania uprawnień. Dla większości systemów (innych niż kontrolery domen, np. Certificate Servers) powinno się stworzyć grupę w lokalnej grupie administratorów. Automatyka zagnieżdżania lokalnych członków grup może być osiągnięta poprzez funkcjonalność Restricted Groups w Group Policy. Administratorzy danych A teraz prześledźmy role administratorów danych. Ci powinni być stworzeni ze skumulowanymi uprawnieniami, co oznacza, że jeden administrator powinien mieć pełne Listing 1. ????????????????? dsacls dsacls dsacls dsacls dsacls dsacls dsacls dsacls 4 ou=<twoja_nazwa_ou>,dc=<twoja_nazwa_dc>,dc=com ou=<twoja_nazwa_ou>,dc=<twoja_nazwa_dc>,dc=com ou=<twoja_nazwa_ou>,dc=<twoja_nazwa_dc>,dc=com ou=<twoja_nazwa_ou>,dc=<twoja_nazwa_dc>,dc=com RPWP;postalCode;user ou=<twoja_nazwa_ou>,dc=<twoja_nazwa_dc>,dc=com RPWP;postOfficeBox;user ou=<twoja_nazwa_ou>,dc=<twoja_nazwa_dc>,dc=com ou=<twoja_nazwa_ou>,dc=<twoja_nazwa_dc>,dc=com RPWP;streetAddress;user ou=<twoja_nazwa_ou>,dc=<twoja_nazwa_dc>,dc=com ber;user hakin9 Nr 5/2007 /I:S /I:S /I:S /I:S /G /G /G /G <twoja_nazwa_dc>\<twoja_nazwa_dane_ou>:RPWP;c;user <twoja_nazwa_dc>\<twoja_nazwa_dane_ou>:RPWP;co;user <twoja_nazwa_dc>\<twoja_nazwa_dane_ou>:RPWP;l;user <twoja_nazwa_dc>\<twoja_nazwa_dane_ou>: /I:S /G <twoja_nazwa_dc>\<twoja_nazwa_dane_ou>: /I:S /G <twoja_nazwa_dc>\<twoja_nazwa_dane_ou>:RPWP;st;user /I:S /G <twoja_nazwa_dc>\<twoja_nazwa_dane_ou>: /I:S /G <twoja_nazwa_dc>\<twoja_nazwa_dane_ou>:RPWP;telephoneNum www.hakin9.org Jak delegować uprawnienia w Active Directory prawa do drugiego plus pewne dodatkowe uprawnienia. Przyjrzymy się takim potencjalnym grupom. Grupa pierwsza administratorów powinna zawierać ogólne zasady zarządzania wcześniej stworzonego katalogu obiektów. Ta grupa powinna być przeznaczona dla wstępnie przeszkolonych administratorów lub dla takich, którzy wykonują odizolowane zadania, np. zmiana haseł. Nadaj tej grupie we własnej OU uprawnienia do modyfikacji właściwości kont użytkowników, zmiany hasła, odblokowywania kont, uaktywniania lub blokowania kont, resetowania kont stacji roboczych, modyfikowania członkostwa obiektów grupowych dla nieadministracyjnych grup. Grupa druga powinna umożliwiać trochę więcej funkcji, jak zarządzanie tworzeniem obiektów, zezwalanie na tworzenie obiektów, aby mogły być zarządzane przez grupę pierwszą. Członkowie tej grupy mogą dodawać i modyfikować konta administracyjne grupy pierwszej, a także zarządzać kontami użytkowników. Mają możliwość usunięcia obiektów stacji roboczych, dodawania, modyfikowania, usuwania obiektów Server, Contact i Shared Folder. Kolejna grupa to grupa Regional Admins. Ta grupa wychodzi poza obręb własnej struktury Organizational Unit. Nie może zarządzać innymi strukturami regionalnymi OU. Konto Regional Admin powinno być rozważane jako wysoce uprzywilejowane. Konta Regional Admins przechowywane są w oddzielnej hierarchii OU i zarządzane przez administratorów usług. Regional Admins mają dostęp do tworzenia większości obiektów bez restrykcji we własnej strukturze Organizational Unit, co stwarza pewne zagrożenie, że tworzone obiekty mogą nie być zarządzane przez administratorów o niższych uprawnieniach. Wiele struktur organizacyjnych posiada scentralizowany help desk. Ta rola wypełnia listę administratorów danych, zapewniając grupie administratorów danych nadrzędne prawa nad Regional Admins. Prawa nie są delegowane do tych grup, są tworzone jako zagnieżdżone członkostwo w każdej grupie Regional Admins. Zapewnia to najwyższej jakości punkt eskalacji dla wszystkich administratorów danych, jak i służy jako punkt dostępu dla spraw do przekazania dalej do grupy administratorów usług. Model Organizational Unit i Security Group Gdy role są zdefiniowane, w organizacji musimy stworzyć model Organizational Unit i Security Group. Dwa główne czynniki decydują o budowie OU w Active Directory. Po pierwsze delegowanie uprawnień, po drugie tworzenie punktu, gdzie obiekty Group Policy mogą być połączone. Sposób, w jaki zdecydujesz się na delegowanie uprawnień powinien być głównym czynnikiem, decydującym o tym, jak chcesz zaimplementować twoją strukturę OU. Mając to na uwadze, OU nadrzędne powinno być stworzone dokładnie pod domeną, tak aby zmieścić wszystkie obiekty. Taki OU służy celom definiowania najwyższego poziomu uprawnień ponad usługami katalogowymi, które mogą rozpocząć się na poziomie OU, a nie na poziomie domenowym. Poniżej najwyższego poziomu OU powinien zostać stworzony oddzielny OU, by prezentować własny region mający dyskretny zespół zarządzania danymi. Każdy regionalny OU powinien mieć wspólną, nie za dużą hierarchię do zarządzania obiektami katalogowymi. Unifikowanie jest krytyczne dla zarządzania bieżącego, w związku z automatyzowaniem delegowania uprawnień. To duże wyzwanie, zważywszy na fakt, że każdy region może wymagać unikalnych OU. Administratorzy IT muszą trzymać się określonych zasad. Jeśli rozszerzenie jest wymagane dla jednego regionu, struktura OU powinna być rozszerzona dla wszystkich regionów. To może być na początku trudne, ale jeśli organizacja zapewnia podsta- www.hakin9.org wowe przechowywanie dla obiektów, możliwe. Wreszcie, stwórz oddzielne podgrupy administracyjne i konta do usuwania możliwości administracyjnych, by zwiększać ich przywileje. Tworzenie kont w oddzielnych OU zezwala ograniczać zarządzanie własnym poziomem lub niższym. Dla przykładu, każdy członek grupy Domain Admins może stworzyć dowolne konto dla użytkownika jako Domain Admin. Przy zastosowaniu naszego podziału kont na poddomeny ryzyko zmniejsza się. Ustanawianie drugorzędnych kont Kluczem do prawidłowego modelu delegowania uprawnień jest stworzenie zasady jak najmniej zbędnych uprawnień. W praktyce oznacza to, że tylko względy bezpieczeństwa powinny być brane pod uwagę, aby wykonać zadania określone dla danej roli i nic więcej. Niestety wielu administratorów sądzi, że do bieżących zadań oraz przeglądania zasobów sieci czy czytania poczty, również pomocne będą im uprawnienia administratorskie. Gdy mamy oddzielne konta możemy uniknąć przypadkowego skasowania drzewa katalogowego przez zmęczonego administratora lub zabezpieczyć się przed atakami, które są powodowane przez aplikacje codziennego użytku, ale takimi, które celują w administratorów. By to osiągnąć bez konieczności wylogowywania się użyj serwisu Secondary Logon (Runas.exe). To zezwoli użytkownikowi zwiększyć uprawnienia, zapewniając inny zestaw uprawnień, gdy są uruchamiane skrypty lub pliki wykonywalne na serwerach lub stacjach roboczych. Mimo że koncepcja używania kont o niższych uprawnieniach jest prosta, organizacje często z nieufnością do niej podchodzą. Wynika to z przyzwyczajeń, które trudno się zmienia. Wymuszenie użycia kont o niższych uprawnieniach może być wynikiem niedopuszczenia otrzymywania bezpośrednich wiadomości pocztowych na kontach o uprawnie- hakin9 Nr 5/2007 5 Obrona niach wyższych. To jakże proste rozwiązanie w kolejny znaczący sposób obniża używanie takich kont rutynowo do zadań nieadministracyjnych. Delegowanie uprawnień Finalny krok wdrożenia modelu delegowania uprawnień to jego wdrożenie, czyli delegacja uprawnień w Active Directory. W tym celu należy skonfigurować dostęp do access control entries (ACEs) oraz access control lists (ACLs) dla danych przechowywanych w ramach usług katalogowych. ACLs w kontenerach Active Directory definiują, które obiekty mogą być tworzone i w jaki sposób mają być zarządzane. Delegowanie uwzględnia podstawowe operacje na obiektach, m.in. przeglądanie obiektów, tworzenie obiektów z uprzednio predefiniowanych, zmiana atrybutu czy bezpieczeństwo. Poza nimi AD definiuje Extended Rights, które umożliwiają na operacje, takie jak wyślij jako i zarządzaj topologią replikacji. By zaimplementować model delegowania uprawnień grupy i podgrupy bezpieczeństwa, OU muszą posiadać przypisane uprawnienia ponad obiektami w katalogu. Nie chcemy przecież się uwsteczniać i nagle tworzyć wynalezionego raz koła. Przeciwnie, postaraj się zmniejszyć uprawnienia wbudowanym grupom gdzie możliwe. Jeśli np.: określone wpisy DNS muszą być dokonane, nie musisz delegować uprawnień ponad kontenerami i nazywać kontekstu powiązanego do zintegrowanych DNS w Active Directory. Lepiej obniżyć grupę BUILTIN\DNS Admins w domenie. Dodatkowo, prawa użytkowników i inne uprawnienia mogą być zwiększone poprzez Group Policy w taki sposób, aby zapewnić dodatkowe uprawnienia wymagane do zarządzania określonymi klasami systemów poprzez określoną rolę. Podczas przypisywania uprawnień, używając delegowania uprawnień, powinno się limitować lub całkowicie eliminować używanie Deny ACEs. Mogą stać się one bowiem kłopotliwe w razie wystą- 6 hakin9 Nr 5/2007 pienia błędów. Lepszym rozwiązaniem jest wyodrębnienie Allow ACEs w celu przyznania uprawnień do grup przedefiniowanych prezentujących twą rolę. Pamiętaj, że predefiniowane role będą mieć tylko wyłączne prawa zdefiniowane przez te role. Ważne jest dziedziczenie w AD. Zawsze bądź dokładny w zakresie dziedziczenia poprzez zapewnianie dziedziczących ACEs, by były one zastosowane możliwie blisko obiektów celu. Jest wiele narzędzi, których możesz użyć w celu prawidłowego ustalenia zasad modelu delegowania uprawnień. Możesz korzystać z szablonów i kreatorów (wizardy). Podstawowe tekstowe narzędzie, mogące posłużyć do manipulowania usługami ACLs na obiekcie w katalogu to DSACLS.EXE, Jeśli flaga dziedziczenia będzie źle zdefiniowana narzędzie nie zadziała prawidłowo. Bardzo ważne jest testowanie narzędzia, by stwierdzić ewentualne nieprawidłowości. Jeśli chcesz stworzyć obiekt typu komputer w docelowym OU, zwróć uwagę na to, że narzędzie jest casesensitive: dsacls.exe ou=<twoja_nazwa_ ou>,dc=<twoja_nazwa_dc>,dc=com /I:T /G <twoja_nazwa_dc>\dataadmin:CC;computer Określony zbiór uprawnień jest wymagany dla tworzenia kilku obiektów. Jest różnica pomiędzy atrybutami obiektu: tymi co mogą wystąpić, a tymi które są konieczne. Dla obiektów użytkowników przykład może wyglądać tak: dsacls ou=<twoja_nazwa_ou>,dc=<twoja_ nazwa_dc>,dc=com /I:T /G <twoja_nazwa_ dc>\<twoja_nazwa_dane_ou>:CC;user Administrator może spodziewać się kilku błędów podczas tworzenia obiektów typu użytkownik. Musimy nadać wymagane uprawnienia, by ustawić wymagane atrybuty dla obiektu użytkownika, włączając zmianę hasła. Jest to spowodowane w następującej dodatkowej składni www.hakin9.org DSACLS. Na początku przyznajmy uprawnienia do zapisu atrybutów koniecznych, poprzez nadanie Generic Read/Generic Write do wszystkich atrybutów klasy użytkownika: dsacls ou=<twoja_nazwa_ou>,dc=<twoja_ nazwa_dc>,dc=com /I:S /G <twoja_nazwa_ dc>\<twoja_nazwa_dane_ou>:GRGW;;user Następnie, nadajmy rozszerzone uprawnienia do zmiany hasła: dsacls ou=<twoja_nazwa_ou>,dc=<twoja_ nazwa_dc>,dc=com /I:S /G <twoja_ nazwa_dc>\<twoja_nazwa_dane_ou>: CA;"Reset Password";user Na końcu, nadajmy uprawnienie do właściwości czytania i zapisu atrybutu Password Last: dsacls ou=<twoja_nazwa_ou>,dc=<twoja_ nazwa_dc>,dc=com /I:S /G <twoja_nazwa_ dc>\<twoja_nazwa_dane_ou>: RPWP;pwdLastSet;user Gdy właściwe uprawnienia zostaną zdelegowane, zdefiniowane role będą ograniczone tylko do zarządzania obiektami zdefiniowanymi w kontenerze DACL. Menu kontekstowe w Active Directory Users and Computers ogranicza listę nowych obiektów, jakie mogą zostać stworzone przez osobę z takimi wydelegowanymi uprawnieniami. DSACLS może również służyć do zautomatyzowania złożonego zbioru uprawnień. Poniżej przykład zastosowania komend do delegowania uprawnień, by ustawiać powszechne atrybuty ponad obiektami użytkowników w danym kontenerze: Takie przykłady są powszechne dla większości modeli delegowania uprawnień i mogą być używane w połączeniu z wcześniej zdefiniowanymi rolami. Innym narzędziem jest DSREVOKE.EXE, zezwalające administratorom lokalizować i usuwać zdelegowane uprawnienia dla specyficznych zasad bezpieczeństwa dla obiektów w ramach katalogu. To narzędzie może być użyteczne, jest ono specyficzne dla zasad bezpie- Jak delegować uprawnienia w Active Directory czeństwa i nie wpływa na zagnieżdżone członkostwo wewnątrz grup bezpieczeństwa. Poza tymi narzędziami, uruchamianymi z linii poleceń, wysoce zalecane jest użycie User Rights Assignment i Restricted Groups z Group Policy. User Rights Assignment umożliwia administratorom IT rozszerzenie lub usunięcie niskich uprawnień (zdalny dostęp, restart systemu) dla różnych grup użytkowników na specyficznych systemach. Restricted Groups mogą być użyte do określenia i lokalnych i domenowych członków grup w lesie. W połączeniu, te narzędzia zapewniają wszystko, co niezbędne do zautomatyzowania i zaimplementowania modelu delegowania uprawnień Active Directory. Podsumowanie Tworzenie modelu delegowania uprawnień w AD może wydawać się skomplikowane, jednak tak nie jest. Wiele prostych modeli można zastosować do infrastruktury IT. Najważniejszy krok to zdefiniowanie jasnych ról. Należy limitować role do małych, zarządzalnych grup. Balansowanie jest trudne, zbyt wiele zmian spowoduje stworzenie ról nigdy nie wykorzystywanych, natomiast za mało nie zezwoli na właściwy podział obowiązków. Należy pamiętać podczas definiowania zadań, by grupować je pod względem częstotliwości, ważności i trudności. Po jednokrotnym zdefiniowaniu zwróć uwagę na wdrożenie zestawów przypadków, które pomogą zidentyfikować, które role można, a których nie należy zautomatyzować w procesie testowania. Dobrze przygotowane pozwolą przekonać osoby z zarządu do słusznej decyzji oraz pomogą w ewentualnych problemach w przyszłości. Na koniec, zawsze warto przygotować praktyczny test, przed wdrożeniem modelu delegowania uprawnień. Pamiętaj, że ułatwienie równa się jakości wspierania i stabilności modelu delegowania. Taki model będzie pełnił kluczową rolę w kontroli uprawnień administratorskich w środowisku twojego Active Directory. l www.hakin9.org hakin9 Nr 5/2007 7