Jak zapobiegać błędom w zarządzaniu Active Directory

Odmowa rozszerzenia schematu usługi

Każdy administrator Active Directory powinien rozumieć, że zmiana schematu usług AD nie stanowi decyzji, którą można podjąć szybko i łatwo. Nie oznacza to, że nie ma możliwości jego zmiany. Nowe aplikacje lub wymagania środowiska mogą wpływać na decyzję o konieczności wprowadzenia modyfikacji schematu usług. Warto jednak rozważyć zalety i wady takiej operacji. A jeżeli jest to jedyne rozwiązanie problemu, zmiany należy wykonać ostrożnie.

Brak planu kopii zapasowej i odtwarzania danych po awarii

Jeżeli użytkownik usunie 10000 obiektów katalogowych, powstaje pytanie jak szybko można je odzyskać? Jeżeli automatyczny skrypt z HR niepoprawnie zmodyfikuje numery telefonów tysięcy użytkowników, w jaki sposób odzyskać dane? Planowanie i testowanie procesów odzyskiwania danych jest koniecznością w przypadku każdej firmy. Przygotowanie się do szybkiego i powtarzalnego procesu odzyskiwania danych jest podstawą pracy administratora i zasadniczo zmniejsza czas przestojów w przypadku wystąpienia awarii.

Aktualizacje oprogramowania i sprzętu

Niektóre organizacje czekają do ostatniej chwili z niezbędnymi aktualizacjami oprogramowania. Gdy pojawia się zagrożenie w postaci końca wsparcia dla danego produktu EOL (End-of-Life), najczęściej okazuje się, że infrastruktra sprzętowa nie spełnia wymagań nowych wersji oprogramowania. Nie trzeba modyfikować AD w następnym dniu po instalacji nowej wersji aplikacji, ale utrzymywanie bardzo starych nie jest działaniem rozsądnym. W tej sytuacji będą bowiem pojawiały się problemy z bezpieczeństwem. Dlatego warto utworzyć plan modernizacji kontrolera domeny AD.

Współdzielenie kont administracyjnych

Bardzo często firmy nie przechodzą pozytywnie audytu bezpieczeństwa Active Drectory z powodu zbyt wielu użytkowników należących do grupy administratorów domeny. Dobrą praktyką jest usunięcie wszystkich kont z takimi uprawnieniami i utworzenie wyłącznie dwóch przeznaczonych do zastosowań administracyjnych. Nie oznacza to konieczności zmniejszenia liczby pracowników z określonymi uprawnieniami, bo można pozwolić na współdzielenie takich uprzywilejowanych kont.