Active Directory

Werking Active Directory wordt vaak nog onderschat

Elke systeembeheerder heeft er mee te maken, Active Directory (AD). Dit is vaak een afspiegeling van de organisatie. Medewerkers staan hier netjes in vermeld met hun toegangsmachtigingen en toegewezen privileges. Aanverwante systemen putten uit deze bron van informatie voor diverse toepassingen. Zo kunnen zij controleren of een medewerker toegang heeft tot een applicatie of het genereren van de juiste informatie voor de handtekening onder de zakelijke e-mail.

Active Directory

De werking van Active Directory wordt veelal als gewoon verondersteld. Dit heeft als risico dat Active Directory niet de zorg krijgt die het wel degelijk verdient. Vooral in kleinere netwerkomgevingen is het een ondergeschoven kindje. Vaak wordt gedacht: ”als er iets fout gaat met de domain controller dan installeren we deze wel even opnieuw”. Echter wordt er geen rekening gehouden met het feit dat elke medewerker om 9:00 uur de volgende ochtend niet kan inloggen. Hoe ga je je collega’s bereiken om te informeren dat hun wachtwoord is gewijzigd? De e-mail kan namelijk niet gelezen worden. Back-ups worden niet meer gemaakt of teruggezet. Eventuele koppelingen met third-party software of de webshop zullen niet meer functioneren. De Active Directory is dus een zeer belangrijke applicatie, die zeker niet onderschat mag worden. Hoe feilloos de domain controller(s) dan ook functioneren verlies deze nooit uit het oog.

Een aantal handreikingen bij het gebruik van Active-Directory:

Deel nooit te veel privileges uit: hanteer altijd de “Best practise of leasts privilege”

Werk nooit onder een account met administrator rechtten voor dagelijks gebruik. Een simpele vergissing kan ernstige gevolgen hebben. Maar ook malware heeft vrij spel zodra je even de aandacht er niet bij hebt. Maar collega’s die net iets te veel kunnen op het netwerk, zijn misschien nog wel het grootste kwaad.

Beleid opstellen en handhaven

Vaak zien we dat het aantal actieve accounts binnen de Active Directory hoger ligt dan het aantal daadwerkelijk medewerkers. Dit is een zeer groot risico, medewerkers die de organisatie hebben verlaten kunnen nog steeds bij resources komen. Een oplossing hiervoor is:  elk account afstemmen met bijvoorbeeld de HR-afdeling en een einddatum instellen voor elk account. Daarnaast zullen bedrijven ook audits moeten ondergaan van bijvoorbeeld accountants. Het blijven gebruiken van hetzelfde wachtwoord voor bijvoorbeeld service-accounts levert minpunten op.

Active-Directory Schema

Het updaten van het Active-Directory Schema is geen bezigheid die je als systeembeheerder even doorvoert. Deze updates zijn namelijk onomkeerbaar en vereisen voorbereiding. Een volledig overzicht over de gehele infrastructuur en alle afhankelijkheden zijn noodzakelijk. Plan en bereid deze updates dus grondig voor. Hoe uitgebreid dit ook mag zijn, het is namelijk geen reden om updates op het Schema helemaal niet uit te voeren.

Back-up

Wees voorbereid op het ergste, vaak worden de back-ups gemaakt van databases file- en webservers etc. Maar maak je ook back-ups van je domain controllers? Hoe ga je een restore van de fileserver uitvoeren als je geen beschikking hebt over Active-Directory accounts? Zorg dat je ook voor Active-Directory een goed back-up plan hebt. Houd er rekening mee dat een herstel operatie van je Active-Directory database, minimaal twee maal zoveel schijfruimte in beslag neemt dan de huidige database. Schaal de domaincontrollers dus niet te krap in!

Wees consistent

Of het nu gaat om de naamgeving van devices binnen het netwerk of accounts en groepen. Zorg ervoor dat je altijd consistent werkt. Het is ideaal om deze werkwijze vast te leggen in een document. Zo kan je altijd terugvallen op het origineel uitgedachte plan. Hiermee voorkom je ellende en uitzoek werk. Stel je voor, dat in verschillende Group Policy objecten het koppelen van gedeelde printers is ondergebracht, of het uitdelen van diverse rechten op mappen. Binnen no-time is Active-Directory een oerwoud van instellingen zonder logica.

Hulp nodig?

Bovenstaande is nog maar hele kleine greep aspecten die in acht genomen moeten worden bij het correct gebruik van Active Directory. Wil je meer weten of het juist gebruiken van Active-Directory binnen je organisatie? Neem dan contact met ons op en we vertellen je er graag veel meer over!

Patrick Veldboer