Разрешение отдела кадров ввести пользователей в Active Directory / Exchange вместо IT?
Просто предложение, но почему бы не добавить Шлюз Удаленного рабочего стола. Это - созданный в роли с W2K8 +, который работает на основе SSL/443, который делает довольно легким направить по любому брандмауэру. Кроме того, можно затем установить правила и использовать Сетевой Сервер политики и правила действительно управлять на детализированном уровне, кто может получить доступ серверу. Так как Вы уже выполняете веб-сервер, это может быть большей частью безопасного решения. Это также позволит Вам RDP в любой сервер позади брандмауэра, не имея необходимость делать любые модификации к брандмауэру.
Работает отлично на моих нескольких сайтах, и это ОЧЕНЬ безопасно.
Конечно, можно делегировать ограниченный набор привилегий для управления пользовательскими объектами. Я работаю у поставщика образовательных услуг, и на одном из наших отделов работает много студентов, которые присутствуют только пару недель, и они постоянно приходят и уходят. Нам было бы больно управлять счетами за них. Поэтому мы делегировали привилегии одному из сотрудников этой программы.
Мы не решили этого не делать, но мы инвестировали в интеграцию нашей системы расчета заработной платы непосредственно в AD через SIF . Должна быть предусмотрена возможность автоматического создания учетных записей. Для этого существует все программное обеспечение, но, поскольку мы не являемся традиционной школой, оно не совсем соответствовало нашим требованиям.
Если вы все же решите делегировать это, вам, возможно, придется оценить свои требования к безопасности. Возможно, вы можете позволить HR создавать учетные записи, но не разрешать им изменять членство в группе. Таким образом, требуется какой-то запрос к кому-то, чтобы дважды проверить, что запрашиваемые привилегии действительны для этого человека.
Там, где я был, это была бы задача, которую выполняет системный администратор с использованием информации, предоставленной отделом кадров через систему заказов на работу или тикетов.
Я настроил Сервер активных ролей для службы поддержки, которую я поддерживал, которую вы могли бы использовать, чтобы делать то, что вы пытаетесь сделать, но вам нужно будет решить, оправданы ли усилия на основе вашего пользователя. база.
Одно из моих развертываний AD включает сотни зарубежных сотрудников и множество проектов. Один из продуктов, с которым мы работаем, также требовал отдельного входа в систему, как вы описали.
Мне не удалось найти единый способ разрешить доступ ко второму продукту. В конце концов, я пошел на их интеграцию с AD, как она есть.
Делегирование разрешений сотрудникам за пределами IS стало окончательным бизнес-требованием. В конце концов, у нас было несколько уровней делегированного доступа - один, который позволяет пользователям, не являющимся ИБ, создавать проекты и выполнять общие задачи управления AD (ограничен одной ветвью AD), а другой - для управления пользователями, включая новых пользователей, членство в группах и сброс пароля.
Самая большая вещь, которую я обнаружил, - это то, что необходимо также установить разрешения для ваших групп. При правильной настройке ваши делегированные пользователи смогут перемещать пользователей между общими группами без возможности выполнять атаки с повышением привилегий.
При правильной настройке ваши делегированные пользователи смогут перемещать пользователей между общими группами без возможности выполнять атаки с повышением привилегий. При правильной настройке ваши делегированные пользователи смогут перемещать пользователей между общими группами без возможности выполнять атаки с повышением привилегий.