Una granularità strutturata nella security del tuo dominio ti aiuterà a non correre rischi.
Vai al video tutorial
Una funzionalità molto utile è sicuramente quella della delega dei permessi Active Directory. Un classico scenario di applicazione potrebbe essere quello di un dipartimento IT strutturato in varie sotto-funzioni, per citarne alcune :
- Servicedesk;
- Network;
- Security;
- Infrastructure Management;
- Facility Management;
In questi casi è necessario segmentare quelli che sono i permessi di gestione del dominio assegnando, a ciascun gruppo, i permessi strettamente necessari al fine di amministrare correttamente la funzione gestita.
Immaginiamo un’ipotetica configurazione di delega necessaria a gestire la funzione Servicedesk: sarebbe inutile e rischioso assegnare permessi molto elevati quando le funzioni di gestione dovrebbero limitarsi ad attività ordinarie come:
- Creazione Utenti Active Directory;
- Abilitazione\Disabilitazione Utenti;
- Reset Password;
- Sblocco Utente;
- Assegnazione membership già esistente, condizionata ad approvazioni procedurali interne.
Nello scenario “ServiceDesk” sarebbe inutile delegare permessi per il pre-staging dei computer di dominio (permesso che potremmo dedicare agli addetti al Facility Management), oppure per la creazione dei Security Group (permesso da delegare agli addetti alla Security).
Considerazioni
Si tratta solamente di un esempio utile a comprendere come la delega dei permessi Active Directory in termini di granularità strutturatà, sia fondamentale a garantire la sicurezza e la corretta gestione dell’intero dominio.
La maggior parte degli “attacchi” rilevati all’interno di un’infrastruttura non sono dolosi o provenienti dall’esterno ma sono dovuti ad azioni non controllate del personale interno il quale può accidentalmente trasformare una semplice attività di gestione in un attacco all’infrastruttura.
Attraverso le deleghe dei permessi è possibile gestire numerose attività in modo strutturato sui vari oggetti di Active Directory. Possiamo gestire deleghe su utenti, gruppi, computers, organizationl unit, dominio, Gpo, ecc.
La sicurezza dei sistemi, che nel corso degli anni ha subito numerose trasformazioni anche in termine di nomi, è un tema molto ampio e importante, non ci si deve quindi limitare esclusivamente ad una protezione perimetrale dell’infrastruttura, è fondamentale implementare procedure e processi di gestione per ridurre al minimo questi scenari spesso catastrofici.
