Будни 9.30-18.30 (495)  504-73-23
Свяжитесь со специалистом Горяинов Денис Технический директор +79851256588denis@zscomp.ruЗадать вопрос

Active Directory

 

 

Задачи организации доменной структуры:

 

1. организация групповых политик безопасности сотрудников;

2. разграничение прав доступа к корпоративной информации;

3. внедрение лицензирования особо секретной информации;

4. создание централизованной системы аутентификации и управления политиками;

5. интеллектуальное управление документами, приложениями и оборудованием компании;

6. повышение уровня информационной и корпоративной безопасности;

7. подключение к групповым политикам удаленных и мобильных сотрудников;

8. безопасная работа с облачными сервисами и SaaS-продуктами.

 

 

Роль Active Directory в организации доменной структуры

 

Active Directory («активный каталог») является одним из наиболее популярных программных решений от Microsoft для серверного оборудования на базе операционных систем Windows Server. Одним из преимуществ AD является совместимость с операционными системами NIX Server, а работать активный каталог может как с рабочими станциями на Windows, так и на Mac OS.

 

 

Основное предназначение Active Directory – создание централизованной, управляемой, безопасной и масштабируемой IT-инфраструктуры компании с групповыми политиками безопасности, разграничением прав доступа сотрудников и возможностью распространения программного обеспечения на множестве рабочих станций. В нашей работе с клиентами Active Directory является составной частью внутреннего периметра безопасности IT-инфраструктуры (подробнее – «Система безопасного доступа»).

 

По большому счету, Active Directory – сердце IT-инфраструктуры компании, с которой начинается организация работы сотрудников и отделов. От того, насколько грамотно и профессионально развернута AD, зависит иерархичная структура работы коллектива, понимание своих прав и обязанностей, а также безопасность корпоративной информации.

 

Как говорят эксперты Microsoft, в своей основе Active Directory ориентирована на управление пользователями и ресурсами. Рядовой сотрудник является наиболее уязвимым звеном корпоративной безопасности, поэтому требует контроля и управления.

 

Преднамеренный или случайный запуск на рабочей станции вредоносного ПО или вируса, работа с аутентификацией (паролями), переход по небезопасным ссылкам, шпионаж – незнание основ безопасной работы с оборудованием отдельного человека приводит к уязвимости всей IT-инфраструктуры компании.

 

 

Active Directory решает целый спектр задач по управлению сотрудниками и повышению безопасности, четко разграничивая, как, что и когда можно делать тому или иному пользователю:

 

создание групповых политик безопасности – определение в доменной структуре групп пользователей с правами доступа к ресурсам компании.

Для каждой отдельной группы пользователей («Бухгалтерия», «Отдел по персоналу», «Менеджеры по продажам», «Дизайнеры») можно задать определенные правила и шаблоны доступа к той или иной информации или оборудованию. Это касается и рабочих станций, и серверов, и электронной почты, и приложений, и отдельных файлов, и даже времени работы на компьютере. Преимуществом такой схемы является возможность быстро распространить политики безопасности на определенную группу пользователей, и они будут работать только для отдельных сотрудников. Например, у менеджеров не будет доступа к финансовым документам, а некоторые сотрудники смогут только просматривать документы без возможности редактирования. Пользователи работают с этой схемой через индивидуальные учетные записи на своих рабочих станциях.

 

– лицензирование документов – возможность накладывать на отдельные файлы особые технологии шифрования для безопасной передачи конкретному лицу.

С помощью Active Directory возможно защищать содержимое сообщения в процессе публикации и представления доступа другим лицам. Другими словами, созданный документ с помощью AD получает шифрование с ограничением на просмотр и редактирование. Это позволяет безопасно передать файл даже по электронной почте, его получит конкретное лицо, указанное через групповые политики безопасности, и только он сможет его прочитать, пройдя идентификацию.

 

– гибкое и быстрое масштабирование групп пользователей – возможность быстро добавлять и удалять пользователей из групп.

Благодаря тому, что для отдельных групп пользователей применяются единообразные политики безопасности, добавить нового сотрудника в группу не составляет труда и занимает считанные секунды. Аналогичное работает и с удалением пользователя из группы в связи, например, с увольнением.

 

 

– повышение корпоративной безопасности – возможность локализации угрозы на конкретной рабочей станции, а также предотвращение шпионажа и несанкционированного доступа к документам особой важности.

Благодаря тому, что Active Directory создает для конкретного пользователя строго ограниченное пространство для работы, у сотрудника не будет возможности открыть, скопировать или удалить файлы, которые находятся все зоны его доступа. Вместе с тем, в случае попадания в компьютер вредоносного ПО или вируса, он будет локализован внутри рабочей станции, и, благодаря политикам безопасности, не сможет добраться до SQL-сервера, базы данных, программы 1С. Намного проще и дешевле бороться с вирусами на отдельном компьютере, чем во всей компании в случае распространения.

 

– выстраивание иерархичной структуры управления – возможность программного управления персоналом посредством выделения групп сотрудников в группы пользователей.

Active Directory позволяет с помощью вполне понятных программных решений, а не просто на словах, выстраивать иерархичную структуру управления коллективом. Рядовым сотрудникам доступны определенные ограниченные права, у их непосредственного начальника таких прав больше, у начальника отдела – еще больше и так далее. Например, рядовые сотрудники могут воспользоваться некоторыми приложениями только после того, как доступ к ним даст начальник. А формирование отчетов может происходить индивидуально, с доступом к ним только руководителя, который будет на основе отчетов подчиненных составлять свой собственный и передавать своему руководству. Active Directory помогает выстраивать четкую систему «руководитель-подчиненный», реализуется принцип делегирования прав, который упрощает систему корпоративного взаимодействия.

 

 

– выделение групп пользователей в удаленных филиалах и рабочих местах – возможность включать в каталоги Active Directory сотрудников филиалов и территориальных подразделений без выезда на место.

Удаленным сотрудникам благодаря Active Directory можно предоставлять права доступа и ограничивать их действия в сети. Они получат возможность пользоваться ресурсами сети так, как словно бы они находились в центральном офисе. При этом они смогут пользоваться только теми ресурсами, для которых у них открыт доступ в их группе. Вместе с тем, выезда инженера на место не требуется – предоставление прав происходит удаленно.

 

 

– интеграция с оборудованием и приложениями компании – возможность применения «сквозного» доступа к определенным сервисам и устройствам компании, что упрощает их использования, при этом не влияет на безопасность.

Active Directory поддерживает стандарт LDAP, который позволяет интегрироваться с различными сервисами, приложениями, оборудованием (не только Microsoft). Пользователи объединены в группы безопасности, благодаря чему доступ к сервисам или оборудованию возможно предоставить сразу целой группе. Во всех приложениях пользователи имеют одни и те же учетные записи, поэтому доступ осуществляется через аутентификацию, которая записана в каталоге. У сотрудников отпадает необходимость запоминать отдельные пароли, появляется возможность подключиться к VPN или Wi-Fi через аутентификацию.

 

 

– создание уровней доверия между компаниями – возможность предоставления доступа к корпоративной информации сотруднику другой компании.

Корпоративная информация является ценным, оберегаемым ресурсом любой компании. Однако порой необходимо открыть доступ к своим ресурсам сотрудникам другой компании, например, при реализации совместных проектов. Сотрудника можно пригласить в свой офис и предоставить ему всю необходимую информацию. А если он работает в другом городе? Или занят на производстве, и информация нужна порционно? В таких ситуация поможет создание доверенных доменов пользователей. Предоставляемая информация при этом получает дополнительную защиту и шифрование.

 

 

У Active Directory существует еще множество полезных функций, которые помогают управлять пользователями, структурировать работу коллектива, ограничивать и предоставлять доступ к ресурсам, а также повышать безопасность.

 

А в сочетании с другими инновационными решениями возможно поднять корпоративную информацию на новый уровень. Например, в открытый доступ попали финансовые документы вашей компании. С ними имели право работать, к примеру, пять человек. Кто из них виноват? Каких-либо взломов, копирования, перемещения файлов не было. Здесь может помочь система мониторинга работы сотрудников. Можно посмотреть, в какое время были открыты требуемые документы и когда в них работали, и увидеть, например, что делали сотрудники в это время. И вот – кто-то усиленно скринит документы с экрана! Благодаря современным технологиям виновник обнаружен.

 

Как и когда необходимо применять Active Directory? Рассмотрим три основных «точки приложения» AD: в стационарном офисе, для мобильных сотрудников и облачных сервисов.

 

Домены Active Directory

 

Домен – главная единица Active Directory, это группа, в которой объединены рабочие станции, севера, базы данных, периферийное оборудование, корпоративные данные (все это – объекты). Сервер, на котором развернут AD, является контроллером домена. Для этого для сервера выбирается специальная роль (подробнее – «Выбор роли сервера»). Сам по себе Active Directory является распределительной базой данных (службы Active Directory), в которой собраны сведения о сетевых ресурсах, данные о приложениях и проходит управление каталогами и доменами.

 

 

Это наиболее обобщенная структура Active Directory.

 

При реализации проекта «Организация доменной структуры: Active Directory» специалисты нашей IT-аутсорсинговой компании ZSC обеспечивают отказоустойчивость AD путем создания нескольких контроллеров домена на каждом домене. Взаимодействие нескольких контроллеров домена в организации обеспечивается путем синхронизации содержимого нескольких копий объекта. При выходе из строя одного из контроллеров сеть продолжает функционировать, перераспределяя на работоспособный контроллер.

 

 Active Directory разворачивается в пределах организации. В первую очередь, группы пользователей создаются внутри основного офиса. Все принципы Active Directory, описанные в предыдущей главе, применимы к этой ситуации.

 

По данным Microsoft, на сегодняшний день подавляющее большинство малых, средних и больших компаний решили свои проблемы в области разграничения прав пользователей и авторизации – 99% организаций обладают таким функционалом. Это может быть Active Directory, а могут быть и другие продукты. Однако в нашей практике мы сталкиваемся совсем с другими результатами.

 

Большинство компаний, которых мы принимаем на абонентское обслуживание тарифа Premium, имеют некорректно работающий Active Directory с расширенными правами пользователей, многочисленными ошибками, ненастроенными политиками безопасности. А некоторые компании до сих пор не решили свою проблему разграничения прав пользователей – у них просто отсутствует Active Directory.

 

Поэтому, принимая компанию на обслуживание, наши специалисты, в первую очередь, разворачивают Active Directory, создают отдельные группы пользователей, отбирают расширенные права у сотрудников, централизуют систему, проводят необходимую настройку оборудования и рабочих станций.

 

Учитывая проблемы с доступом персонала в той или иной корпоративной информации, данная услуга остается весьма востребованной и актуальной.

 

Active Directory для мобильных сотрудников

 

Мы специально выделили этот блок применения Active Directory. Роль мобильных сотрудников в компаниях растет регулярно. Во-первых, постоянно усложняется работа бизнеса. В компаниях открываются территориальные представительства и филиалы, сотрудники вынуждены осуществлять операции на ходу в режиме онлайн. А во-вторых, иметь в штате мобильных сотрудников становится выгодным. Для них нет необходимости содержать и оплачивать отдельное место, ведь многие рабочие действия можно выполнить на телефоне или планшете.

 

В этой ситуации актуальным становится вопрос быстрого и безопасного доступа мобильных сотрудников к корпоративным ресурсам. Active Directory позволяет гибко включать в группы пользователей, в том числе, и таких сотрудников.

 

 

Программный продукт является расширением службы управления правами Active Directory (AD RMS). Применение этой технологии позволяет предоставлять мобильным устройствам права доступа к ресурсам сети компании, при этом подключение будет защищенным, шифрованным и конфиденциальным.

 

Благодаря этой службе Active Directory, мобильный пользователь получит возможность:

 

– работать с защищенными текстовыми и графическими файлами;

– открывать любой файл, защищенный с помощью универсальной защиты;

– обеспечивать безопасность корпоративной информации на самом мобильном устройстве;

– использовать корпоративные приложения и сервисы.

 

Также мобильный пользователь получит возможность безопасно пользоваться корпоративной электронной почтой.

 

Для использования AD RMS, мобильное устройство должно пройти предварительную настройку и быть включено в группу пользователей, что позволяет применять политики безопасности. При необходимости, специалисты нашей компании ZSC также могут профессионально настроить Active Directory на удаленных устройствах.

 

 

Active Directory как сервис в облаке

 

Это принципиально новая технология Active Directory, которая позволяет безопасно и контролируемо организовывать работу собственных сотрудников в web-приложениях и облачных сервисах. Она получила название Azure Active Directory, и была выведена Microsoft на коммерческий рынок относительно недавно.

 

В последнее время работа компаний в web-приложениях и площадках, облачных сервисах становится отдельным, весомым активом, который позволяет перераспределить мощности на сторонние площадки, экономя на обслуживании систем и развивая свою работу. Так, специалисты отдела кадров для поиска кандидатов используют порталы HeadHunter и SuperJob. Облачные CRM-сервисы позволяют совершенствовать свою работу с клиентами, при этом нет необходимости держать программу на своих мощностях. А работа в Facebook или Twitter позволяют позиционировать свою компанию на рынке и напрямую общаться с покупателями и потребителями.

 

Однако ранее никто даже не задумывался над тем, кто работу с web-приложениями и облачными сервисами можно точно так же, как и внутри компании, структурировать, организовать единообразный доступ и применить политики безопасности. Azure Active Directory позволяет это делать. Программный продукт интегрируется с существующей в компании AD и создает новый уровень доступа пользователей к облачным решениям. По аналогии с Active Directory, в Azure AD создаются отдельные группы пользователей, которые получают право работать с определенными web-приложениями и облачными сервисами.

 

Azure Active Directory обладает целым рядом преимуществ и особенностей:

 

– синхронизация каталогов – возможность применять существующие в AD группы пользователей и политики безопасности относительно облачных сервисов, технология работает и в обратном направлении;

– многофакторная аутентификация – подключение пользователя к облачным и web-решениям происходит не только через логин/пароль, но и с помощью мобильного устройства; это обеспечивает повышенный уровень безопасности;

– самообслуживание – часть работы, которую априори ранее выполнял системный администратор, передается пользователям – теперь их работу контролирует само программное обеспечение (регистрация устройств, самостоятельное управление паролями и группами);

– сквозная аутентификация в SaaS (облачное программное обеспечение) – авторизация пользователя в облачных сервисах происходит путем применения стандартных политик безопасности (аутентификации в AD, «единый вход в SaaS»); отпадает необходимости запоминать пароли и тратить время на долгое подключение;

– доступ к внутренним веб-приложениям.

 

При необходимости, так же как и в Active Directory, в Azure можно в несколько кликов добавить нового пользователя в группу, а также исключить сотрудника. Azure Active Directory позволяет сделать работу ваших сотрудников в облачных и web-сервисах контролируемой, централизованной, прозрачной, управляемой.

 

Как мы работаем

 

Реализация проекта «Организация доменной структуры: Active Directory» нашей компанией ZSC осуществляется как в рамках абонентского обслуживания тарифа Premium, так и в качестве разовой услуги.

 

Преимуществом развертывания Active Directory в рамках абонентского обслуживания является то, что за AD необходим постоянный контроль и управление, чего можно добиться только при регулярном присутствии ответственного специалиста. Кроме этого, при абонентском обслуживании наши специалисты подробно изучают IT-инфраструктуру клиента, благодаря чему становятся понятны проблемные точки, нюансы работы, возможно оперативное внесение корректировок, подстраивание Active Directory под конкретные нужды заказчика. И, конечно, это экономит бюджет, так как развертывание AD входит в фиксированную стоимость абонентского обслуживания.

 

Создание Active Directory требует профессионального подхода и достаточных компетенций, которых у вашего штатного системного администратора может не быть. В нашей компании реализация проекта осуществляется несколькими специалистами, компетентными в разных областях. Это обеспечивает комплексный и многоплановый подход к проекту. После чего, внедренную профессиональную Active Directory мы передаем на дальнейшую эксплуатацию вашему системному администратору. Также AD можно остановить на обслуживание в нашей компании.

 

Перед реализацией проекта наш технический директор проводит встречу с руководством компании, в ходе которой заполняется специальная матрица. В нее вносится необходимая информация: какие группы создаются, что можно делать конкретным пользователям, а чего нельзя, вносятся замечания и рекомендации. По сути, на этом работа клиента заканчивается. Далее мы берем на себя сложную техническую часть проекта: поднятие роли и настройка сервера, организация доменной структуры, прописывание правил и применение шаблонов.

 

Если вы хотите получить профессиональную, бесперебойную, эффективную IT-инфраструктуру с разграниченными правами пользователей и надежной системой безопасности, обращайтесь в нашу компанию!

Оценка: 4.5/5 (Проголосовало: 36)

Спасибо за ваш отзыв!
Как можно улучшить эту статью?

E-Mail:
Вы получите предложение в течение одной минуты