Pull to refresh

Comments 18

Аццки плюсую ибо актуально.
Как я вас понимаю. У меня тоже принята строгая политика именования объектов AD. Например, имя компьютера должно содержать инвентарный номер. Но некоторые личности это не соблюдают, и иногда там можно встретить всякий мусор. Приходится иногда повышать голос.
Кстати, создателя кривого объекта можно вычислить, посмотрев владельца объекта.
А чтобы понять кто где работает, в logon скриптом можно вставлять в атрибуты description или managedBy компьютера логин или имя пользователя.
Можно по подробнее про Владельца объекта? Что то мне такое не попадалось на глаза.
Сам же себе отвечу, извините, затупил.
Да, можно посмотреть и там, но, в моем случае, у меня показывается только группа, в которую входит создатель (например Domain Admins). Может у Вас по другом?
У меня AD на 2003. Как посмотреть безопасность через стандартную консоль я не нашел. В adsiedit.msc ПКМ на объекте, Properties, вкладка Security->Advanсed->Owner. У меня там стоит пользователь владелец, считай создатель объекта.
Я кажется понял. На technet сказано, что:
By default, the owner is the creator of the object, except for objects created by an administrator, in which case «Administrators» is the owner.
Аналогично Domain Admins будет владельцем объектов созданных его членами. Кстати, раньше в упор этого не замечал. :)
А у меня специальные группы, что-то типа SG-Admins-Who-Can-Create-Users-In-This-OU.
Хах, интересно, у нас тоже есть группа для HelpDesk`а. Но два человека еще являются и членами группы Domain Admins.
Мы используем в качестве хостнеймов мак-адреса+ код локации. В настройках WDS выглядит как RU%MAC%
А для того, чтобы знать кто где сидит — надо иметь программу инвентаризации, коих великое множество, все же AD для этого не предназначена, большой трафик репликации, нагрузка на DC итд.
Да и кстати поздравляю — автор сложно решил несуществующую проблему!
Ну не знаю. AD на то он и AD, чтобы хранить информацию. Юзеры в миллионы раз больше говнотрафика генерируют, могу ли я выделить немножко для своего удобства? :)
А так по имени и описанию компьютера из «бухгалтерской программы» могу узнать о нем все. В общем, меня устраивает.
Я не буду много писать, вся ваша статья умещается в это:

«Логины должны вида Вася.Пупкин»

get-qaduser |? { ($_.samaccountname -notmatch ("{0}\.{1}" -f $_.FirstName,$_.LastName )}

Остальное сами додумаете, если чего пишите, помогу.
Кривых login`ов полно по нашему домены ибо домен большой, а занимаюсь я дизайном относительно недавно.
С помощью вашего примера же Вам выйдет список всех кривых логинах, а дальше что? Смысл в статьи не только в этом.
Смысл статьи — найти, покарать и уничтожить, поставить барьер.

Я Вам предложил решение — найти.
Ваша задача уничтожить — принудительно переименовать, и это тоже решается скриптингом (еще один pipe)

Аудитом Вы видите только тех кто завел УЗ, причем пост фактум — и это не правильно.

Необходимы организационные меры, через руководство, и коли у вас большой домен, это должно сработать.
Найти можно и средствами AD.
Смысл статьи — направить праведный гнев начальства не на меня, а на тех кто создает эти УЗ.
Вот тогда и пойдут организационные меры.

С моей стороны до этого было сделано несколько шагов: и объяснения что и как и даже создание инструкции. Увы, не до всех удается достучаться.
Отбирайте права у попавшихся.

А вообще объяснения тут важно именно начальству — неверное заведение УЗ: увеличивает стоимость обслуживания, усложняет связывание сервисов, осложняет работу самого сотрудника (кому эта УЗ была выдана), вообще может привести к нарушению безопасности. Безалаберность, это угроза для безопасности.

А если всё-еще с Вас продолжают спрашивать за «них», то можно сделать сервис заведения УЗ, который по определению не ошибается.

У нас используется скрипт с блэк..., ну это уже другая тема, у нас мы сами заводим УЗ и простого заполнения ФИО и SAMACCOUNTNAME у нас недостаточно…
Если я отберу права у всех попавшихся, я вернусь к тому, с чего начинал — опять ко мне ходят толпы и конючат «создай учетку».

Понятно, что у нас не совершенная фирма в плане IT безопасности, есть куда стремиться.
Требовать от них чего то большого, мне пока никто не позволит, ибо мое начальство и начальство этих «эникейщиков» совершенно разное.
По этому приходится маленькими шажочками выводить всех (себя в том числе) на истинный путь.

На счет специального сервиса — интересно. Надо будет подумать.
Спасибо за совет и за Ваше стремление к общей безопасности :)
Да, как вариант — сделайте веб-страничку, куда вводятся имя, фамилия и еще что-нибудь общее (должность) в форму для новых сотрудников. Скрипт автоматически создает логин на основе введенных данных, и в AD. Отберите у сотрудников права на AD и оставьте только на такую веб-страничку.
А, если не секрет, сколько у вас юзеров? Походу даже в относительно небольших буржуйских конторах (>500) пользуются специально обученными программами, типа www.quest-software.ru/activeroles-server/
Не секрет, около 1300 (честно — не считал). Предприятие государственное, так что покупка производится строго регламентированного ПО. А за пиратские никто по голове не погладит — по этому приходится выкручиваться :)
Sign up to leave a comment.

Articles