Active Directory pri využití nových aplikácií, cloudu či posilnení bezpečnosti

Kvalitná implementácia a štruktúra Active Directory je dôležitým základom pre nasadzovanie ďalších podnikových aplikácií, využívanie cloudových služieb aj pre spoľahlivé zaistenie podnikovej bezpečnosti.

Aplikácie a cloud

Aplikácie ako Microsoft Exchange, Skype for Business, SharePoint či virtualizácie aplikácií a desktopov (Citrix XenDesktop, VMware Horizon, Microsoft Remote Desktop Services) pre svoju funkciu AD priamo vyžadujú. Tiež infraštruktúrne služby ako DNS, DHCP, PKI, ale aj databázy, súborové služby a mnoho ďalších tvoria v konjunkcii s AD ucelený ekosystém.

V prípade, že uvažujete o využívaní služieb Microsoft Azure, tak prepojenie s on-premise AD zabezpečíme s využitím Azure AD Connect (AADC) alebo Active Directory Federation Services (ADFS). Veľmi často predchádza vlastnému prepojeniu nutnosť úprav na strane on-premise AD: prihlasovacie mená v nevhodnom formáte (UPN, sAMAccountName), nesúlad UPN a e-mailovej adresy užívateľa, nevyplnené/neúplné/neaktuálne užívateľské účty (telefón, oddelenie, e-mailová adresa a ďalšie). Potrebné údaje bývajú čerpané z rôznych systémov pomocou skriptov. Ďalej úpravy GPO v oblasti delegovania administratívnych oprávnení, politiky hesiel, šifrovacích algoritmov, certifikátov.

Bezpečnosť

Skutočne dobre navrhnuté a využívané služby Active Directory obmedzujú výskyt bezpečnostných incidentov: ak máte koncové body pod kontrolou, zvyšujete významne celkovú bezpečnosť. Rovnako je možné vďaka AD veľmi účinne zamedziť kumulovaniu nepotrebných oprávnení daného užívateľa v čase, zabrániť v prístupe do relevantných systémov po prepustení zamestnanca či zaistiť schopnosť preukázať, ktorých oprávnení je v danom čase daný užívateľ držiteľom.

Active Directory umožňuje jednotnú správu certifikátov, jednotné overovanie a teda aj viacfaktorovú autentizáciu. Ďalej môže AD slúžiť pre ukladanie kľúčov BitLocker (technológia pre šifrovanie koncových staníc). V prípade, že kľúč konkrétny užívateľ zabudne, má poverená osoba cez AD prístup k daným kľúčom a môže všetko potrebné zachrániť.

Active Directory ponúka úzku integráciu s internou certifikačnou autoritou AD CS (Active Directory Certificate Services). Certifikáty je potrebné nielen vydávať, ale ich aj doručovať koncovým staniciam a užívateľom. Certifikáty je možné použiť pri overovaní identity osoby či objektu, alebo zaistení toho, že informácie budú dostupné len určeným osobám. Sú použiteľné taktiež pri šifrovaní, pri ktorem sú informácie skryté spôsobom nerozlúštiteľným pre neoprávnené osoby či pri digitálnom podpisovaní, zaisťujúcom neodvolateľnosť a integritu správy.

Využitie Active Directory: