. К этой области относятся способы управления указанными объектами с использованием таких инструментов, как групповая политика. И наконец — обслуживание жизненного цикла объектов. Например, устарел ли объект-компьютер; следует ли продлить существование группы; верно ли указан владелец группы; должна ли по-прежнему существовать учетная запись конкретного пользователя и верны ли сведения о его членстве в группе.
Администраторы часто пренебрегают управлением жизненным циклом объекта в AD. ИТ-подразделения всех размеров уделяют много внимания управлению в начале жизненного цикла объекта, например созданию учетных записей пользователей и их распределению по группам, чтобы сотрудники могли быстро приступить к работе. После того как пользователи станут активными, этапы управления жизненным циклом объекта охватывают создание новых групп при изменении проектов и организационной структуры компании, а также удаление пользователей и групп, более не нуждающихся в доступе.
Одна из основных функций AD — прозрачное соединение пользователей с необходимыми им ресурсами. Первые два этапа жизненного цикла объекта, создание и изменение, обусловлены очевидной необходимостью для бизнеса связать пользователей и ресурсы. Однако в большинстве случаев самодеятельное управление объектами дает сбой на последнем этапе жизненного цикла: устранение ненужных объектов, например учетных записей пользователей, которые следует отключить или удалить, групп безопасности с неверным членством (или вовсе без членов) или устаревшим диспетчером и более не существующих компьютеров. Нередко это вызывает затруднения, так как, в отличие от этапов создания и изменения объектов, отсутствует явная связь с основной деятельностью компании. В результате в крупных компаниях могут образовываться тысячи групп безопасности, и своевременно обновлять их вручную невозможно.
Для решения этой задачи пригодятся специальные инструменты AD для управления пользователями, группами и компьютерами. Благодаря им компания может сэкономить много времени и денег, автоматизируя создание, изменение и удаление объектов AD. Еще одно преимущество инструментов управления AD — обеспечение единообразных форматов атрибутов объектов (например, стандартов именования, номеров телефонов) в лесу. Таким образом проще обслуживать приложения, расположенные на нижних уровнях иерархии и получающие информацию об удостоверениях из AD.
Как обосновать приобретение такой утилиты? Безопасность может быть весомым аргументом, так как подобные инструменты помогают уменьшить риски, исходящие от некоторых пользователей и групп. Аттестация (регулярная проверка необходимости и конфигурации участника безопасности) гарантирует, что группа существует, пока в ней есть необходимость, и удаляется после того, как потребность исчезла. Например, с помощью этих инструментов можно немедленно включить аттестацию для всех групп с повышенными правами в AD и быстро удалять учетные записи всех сотрудников, выбывающих из коллектива. Рабочие потоки аттестации — важные компоненты управления жизненным циклом объектов, и приблизительно половина продуктов в этом обзоре располагает такими рабочими потоками.
Другой важный фактор безопасности — аудит изменений. В сочетании с функциями подготовки отчетов и расширенными возможностями аудита Windows Server 2008, инструменты, обеспечивающие аудит изменений, помогут выяснить, какие изменения произошли в каталоге и когда и кем были внесены. Таким образом достигается еще одно преимущество этих инструментов — соответствие нормативным актам, оно одно может оправдать покупку. Иногда, чтобы обосновать приобретение, достаточно указать на экономию благодаря эффективной или самостоятельной смене пароля по сравнению с обращением в службу поддержки и потерями продуктивности при использовании ручного процесса. Среди прочих функций: синхронизация с другими службами каталогов, как внутри компании, так и в «облаке» (то есть Microsoft Office 365), развитые возможности управления групповой политикой и восстановление объектов AD.
Инструменты управления AD — необходимое дополнение для любой средней и крупной компании. Расходы на их приобретение быстро окупятся благодаря снижению трудоемкости, укреплению безопасности и выполнению требований по соответствию нормативным актам. Сводка характеристик инструментов управления объектами AD с указанием наиболее полезных функций приведена в таблице.
Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP