Active Directory
Содержание:
1. Роль Active Directory в организации доменной структуры
3. Active Directory для мобильных сотрудников
4. Active Directory как сервис в облаке
Задачи организации доменной структуры:
1. организация групповых политик безопасности сотрудников;
2. разграничение прав доступа к корпоративной информации;
3. внедрение лицензирования особо секретной информации;
4. создание централизованной системы аутентификации и управления политиками;
5. интеллектуальное управление документами, приложениями и оборудованием компании;
6. повышение уровня информационной и корпоративной безопасности;
7. подключение к групповым политикам удаленных и мобильных сотрудников;
8. безопасная работа с облачными сервисами и SaaS-продуктами.
Роль Active Directory в организации доменной структуры
Active Directory («активный каталог») является одним из наиболее популярных программных решений от Microsoft для серверного оборудования на базе операционных систем Windows Server. Одним из преимуществ AD является совместимость с операционными системами NIX Server, а работать активный каталог может как с рабочими станциями на Windows, так и на Mac OS.
Основное предназначение Active Directory – создание централизованной, управляемой, безопасной и масштабируемой IT-инфраструктуры компании с групповыми политиками безопасности, разграничением прав доступа сотрудников и возможностью распространения программного обеспечения на множестве рабочих станций. В нашей работе с клиентами Active Directory является составной частью внутреннего периметра безопасности IT-инфраструктуры (подробнее – «Система безопасного доступа»).
По большому счету, Active Directory – сердце IT-инфраструктуры компании, с которой начинается организация работы сотрудников и отделов. От того, насколько грамотно и профессионально развернута AD, зависит иерархичная структура работы коллектива, понимание своих прав и обязанностей, а также безопасность корпоративной информации.
Как говорят эксперты Microsoft, в своей основе Active Directory ориентирована на управление пользователями и ресурсами. Рядовой сотрудник является наиболее уязвимым звеном корпоративной безопасности, поэтому требует контроля и управления.
Преднамеренный или случайный запуск на рабочей станции вредоносного ПО или вируса, работа с аутентификацией (паролями), переход по небезопасным ссылкам, шпионаж – незнание основ безопасной работы с оборудованием отдельного человека приводит к уязвимости всей IT-инфраструктуры компании.
Active Directory решает целый спектр задач по управлению сотрудниками и повышению безопасности, четко разграничивая, как, что и когда можно делать тому или иному пользователю:
– создание групповых политик безопасности – определение в доменной структуре групп пользователей с правами доступа к ресурсам компании.
Подробнее
Скрыть
– лицензирование документов – возможность накладывать на отдельные файлы особые технологии шифрования для безопасной передачи конкретному лицу.
Подробнее
Скрыть
– гибкое и быстрое масштабирование групп пользователей – возможность быстро добавлять и удалять пользователей из групп.
Подробнее
Скрыть
– повышение корпоративной безопасности – возможность локализации угрозы на конкретной рабочей станции, а также предотвращение шпионажа и несанкционированного доступа к документам особой важности.
Подробнее
Скрыть
– выстраивание иерархичной структуры управления – возможность программного управления персоналом посредством выделения групп сотрудников в группы пользователей.
Подробнее
Скрыть
– выделение групп пользователей в удаленных филиалах и рабочих местах – возможность включать в каталоги Active Directory сотрудников филиалов и территориальных подразделений без выезда на место.
Подробнее
Скрыть
– интеграция с оборудованием и приложениями компании – возможность применения «сквозного» доступа к определенным сервисам и устройствам компании, что упрощает их использования, при этом не влияет на безопасность.
Подробнее
Скрыть
– создание уровней доверия между компаниями – возможность предоставления доступа к корпоративной информации сотруднику другой компании.
Подробнее
Скрыть
У Active Directory существует еще множество полезных функций, которые помогают управлять пользователями, структурировать работу коллектива, ограничивать и предоставлять доступ к ресурсам, а также повышать безопасность.
А в сочетании с другими инновационными решениями возможно поднять корпоративную информацию на новый уровень. Например, в открытый доступ попали финансовые документы вашей компании. С ними имели право работать, к примеру, пять человек. Кто из них виноват? Каких-либо взломов, копирования, перемещения файлов не было. Здесь может помочь система мониторинга работы сотрудников. Можно посмотреть, в какое время были открыты требуемые документы и когда в них работали, и увидеть, например, что делали сотрудники в это время. И вот – кто-то усиленно скринит документы с экрана! Благодаря современным технологиям виновник обнаружен.
Как и когда необходимо применять Active Directory? Рассмотрим три основных «точки приложения» AD: в стационарном офисе, для мобильных сотрудников и облачных сервисов.
Домены Active Directory
Домен – главная единица Active Directory, это группа, в которой объединены рабочие станции, севера, базы данных, периферийное оборудование, корпоративные данные (все это – объекты). Сервер, на котором развернут AD, является контроллером домена. Для этого для сервера выбирается специальная роль (подробнее – «Выбор роли сервера»). Сам по себе Active Directory является распределительной базой данных (службы Active Directory), в которой собраны сведения о сетевых ресурсах, данные о приложениях и проходит управление каталогами и доменами.
Это наиболее обобщенная структура Active Directory.
При реализации проекта «Организация доменной структуры: Active Directory» специалисты нашей IT-аутсорсинговой компании ZSC обеспечивают отказоустойчивость AD путем создания нескольких контроллеров домена на каждом домене. Взаимодействие нескольких контроллеров домена в организации обеспечивается путем синхронизации содержимого нескольких копий объекта. При выходе из строя одного из контроллеров сеть продолжает функционировать, перераспределяя на работоспособный контроллер.
Active Directory разворачивается в пределах организации. В первую очередь, группы пользователей создаются внутри основного офиса. Все принципы Active Directory, описанные в предыдущей главе, применимы к этой ситуации.
По данным Microsoft, на сегодняшний день подавляющее большинство малых, средних и больших компаний решили свои проблемы в области разграничения прав пользователей и авторизации – 99% организаций обладают таким функционалом. Это может быть Active Directory, а могут быть и другие продукты. Однако в нашей практике мы сталкиваемся совсем с другими результатами.
Большинство компаний, которых мы принимаем на абонентское обслуживание тарифа Premium, имеют некорректно работающий Active Directory с расширенными правами пользователей, многочисленными ошибками, ненастроенными политиками безопасности. А некоторые компании до сих пор не решили свою проблему разграничения прав пользователей – у них просто отсутствует Active Directory.
Поэтому, принимая компанию на обслуживание, наши специалисты, в первую очередь, разворачивают Active Directory, создают отдельные группы пользователей, отбирают расширенные права у сотрудников, централизуют систему, проводят необходимую настройку оборудования и рабочих станций.
Учитывая проблемы с доступом персонала в той или иной корпоративной информации, данная услуга остается весьма востребованной и актуальной.
Active Directory для мобильных сотрудников
Мы специально выделили этот блок применения Active Directory. Роль мобильных сотрудников в компаниях растет регулярно. Во-первых, постоянно усложняется работа бизнеса. В компаниях открываются территориальные представительства и филиалы, сотрудники вынуждены осуществлять операции на ходу в режиме онлайн. А во-вторых, иметь в штате мобильных сотрудников становится выгодным. Для них нет необходимости содержать и оплачивать отдельное место, ведь многие рабочие действия можно выполнить на телефоне или планшете.
В этой ситуации актуальным становится вопрос быстрого и безопасного доступа мобильных сотрудников к корпоративным ресурсам. Active Directory позволяет гибко включать в группы пользователей, в том числе, и таких сотрудников.
Программный продукт является расширением службы управления правами Active Directory (AD RMS). Применение этой технологии позволяет предоставлять мобильным устройствам права доступа к ресурсам сети компании, при этом подключение будет защищенным, шифрованным и конфиденциальным.
Благодаря этой службе Active Directory, мобильный пользователь получит возможность:
– работать с защищенными текстовыми и графическими файлами;
– открывать любой файл, защищенный с помощью универсальной защиты;
– обеспечивать безопасность корпоративной информации на самом мобильном устройстве;
– использовать корпоративные приложения и сервисы.
Также мобильный пользователь получит возможность безопасно пользоваться корпоративной электронной почтой.
Для использования AD RMS, мобильное устройство должно пройти предварительную настройку и быть включено в группу пользователей, что позволяет применять политики безопасности. При необходимости, специалисты нашей компании ZSC также могут профессионально настроить Active Directory на удаленных устройствах.
Active Directory как сервис в облаке
Это принципиально новая технология Active Directory, которая позволяет безопасно и контролируемо организовывать работу собственных сотрудников в web-приложениях и облачных сервисах. Она получила название Azure Active Directory, и была выведена Microsoft на коммерческий рынок относительно недавно.
В последнее время работа компаний в web-приложениях и площадках, облачных сервисах становится отдельным, весомым активом, который позволяет перераспределить мощности на сторонние площадки, экономя на обслуживании систем и развивая свою работу. Так, специалисты отдела кадров для поиска кандидатов используют порталы HeadHunter и SuperJob. Облачные CRM-сервисы позволяют совершенствовать свою работу с клиентами, при этом нет необходимости держать программу на своих мощностях. А работа в Facebook или Twitter позволяют позиционировать свою компанию на рынке и напрямую общаться с покупателями и потребителями.
Однако ранее никто даже не задумывался над тем, кто работу с web-приложениями и облачными сервисами можно точно так же, как и внутри компании, структурировать, организовать единообразный доступ и применить политики безопасности. Azure Active Directory позволяет это делать. Программный продукт интегрируется с существующей в компании AD и создает новый уровень доступа пользователей к облачным решениям. По аналогии с Active Directory, в Azure AD создаются отдельные группы пользователей, которые получают право работать с определенными web-приложениями и облачными сервисами.
Azure Active Directory обладает целым рядом преимуществ и особенностей:
– синхронизация каталогов – возможность применять существующие в AD группы пользователей и политики безопасности относительно облачных сервисов, технология работает и в обратном направлении;
– многофакторная аутентификация – подключение пользователя к облачным и web-решениям происходит не только через логин/пароль, но и с помощью мобильного устройства; это обеспечивает повышенный уровень безопасности;
– самообслуживание – часть работы, которую априори ранее выполнял системный администратор, передается пользователям – теперь их работу контролирует само программное обеспечение (регистрация устройств, самостоятельное управление паролями и группами);
– сквозная аутентификация в SaaS (облачное программное обеспечение) – авторизация пользователя в облачных сервисах происходит путем применения стандартных политик безопасности (аутентификации в AD, «единый вход в SaaS»); отпадает необходимости запоминать пароли и тратить время на долгое подключение;
– доступ к внутренним веб-приложениям.
При необходимости, так же как и в Active Directory, в Azure можно в несколько кликов добавить нового пользователя в группу, а также исключить сотрудника. Azure Active Directory позволяет сделать работу ваших сотрудников в облачных и web-сервисах контролируемой, централизованной, прозрачной, управляемой.
Как мы работаем
Реализация проекта «Организация доменной структуры: Active Directory» нашей компанией ZSC осуществляется как в рамках абонентского обслуживания тарифа Premium, так и в качестве разовой услуги.
Преимуществом развертывания Active Directory в рамках абонентского обслуживания является то, что за AD необходим постоянный контроль и управление, чего можно добиться только при регулярном присутствии ответственного специалиста. Кроме этого, при абонентском обслуживании наши специалисты подробно изучают IT-инфраструктуру клиента, благодаря чему становятся понятны проблемные точки, нюансы работы, возможно оперативное внесение корректировок, подстраивание Active Directory под конкретные нужды заказчика. И, конечно, это экономит бюджет, так как развертывание AD входит в фиксированную стоимость абонентского обслуживания.
Создание Active Directory требует профессионального подхода и достаточных компетенций, которых у вашего штатного системного администратора может не быть. В нашей компании реализация проекта осуществляется несколькими специалистами, компетентными в разных областях. Это обеспечивает комплексный и многоплановый подход к проекту. После чего, внедренную профессиональную Active Directory мы передаем на дальнейшую эксплуатацию вашему системному администратору. Также AD можно остановить на обслуживание в нашей компании.
Перед реализацией проекта наш технический директор проводит встречу с руководством компании, в ходе которой заполняется специальная матрица. В нее вносится необходимая информация: какие группы создаются, что можно делать конкретным пользователям, а чего нельзя, вносятся замечания и рекомендации. По сути, на этом работа клиента заканчивается. Далее мы берем на себя сложную техническую часть проекта: поднятие роли и настройка сервера, организация доменной структуры, прописывание правил и применение шаблонов.
Если вы хотите получить профессиональную, бесперебойную, эффективную IT-инфраструктуру с разграниченными правами пользователей и надежной системой безопасности, обращайтесь в нашу компанию!