Delegeerimine. Osa I

 

image

Delgeerimine on lahe!

Tänapäeval, kui moes on Self-Service kõikvõimalikes eluvaldkondades ja avaldustes – tankimine, pangatehingud, iseteeninduskassad, tarkvarapaigaldus, vabatahtlikud moderaatorid foorumis, firmwareuuendus/-hooldus saab enda adminni elu ka lihtsamaks teha ja osa igapäevaseid tööoperatsioone edasi delgeerida.

Väiksemas firmas on kõige lihtsam delgeerimine olukord, kus kõik teevad kõiki ja eeldame et kõik on firma heaolu eest väljas. Suuremas firmas seevastu tulevad mängu igasugused poliitilised, regulatoorsed ja korralduslikud takistused. No ja võimalik, et alati  pole täidesaatev isik ka teadmistelt kõige pädevam (või võtab täitmine ülemõistuse palju aega).

Nii et alustuseks, kui tahad midagi edasi delegeerida, mõtle enda jaoks selgeks:

  1. millist tööülesannet soovid volitada,
  2. kellele tahad volitada,
  3. kas tal on piisavad teadmised selleks täitmiseks,
  4. proovi talle võimaldada võimalikult lollikindel UI selle töö tegemiseks
      1. Süsteemiadministraatorite maailmas (Windowsi mäta otsast) on MS selle nimel nüüd aastaid vaeva näinud ja tasapisi hakkab asi mugavamaks minema. Kuigi palju on veel teha saab teatud tööülesandeid efektiivselt, lihtsalt ja turvaliselt edasi volitada.
          Allpool (ja järgnevalt) natuke näited, kuidas midagi töötab ja kuidas mitte.

          Active Directory ja objektid.

        AD objektide üle õiguste volitamine muutus saadavaks juba Windows 2000 ajal, kus toodi sisse Delegate Control Wizard.

        Delegate Control  viisard on “suhteliselt lollikindel” vahend lihtsamate operatsioonide edasivolitamiseks. Samas on Delegate Wizardil üks suur viga. Tehtud delegatsioone pole lihtne tagasi võtta – ehk – mõtle ennem hoolega kellele ja mida sa volitad.

        Siia näpunäide – loo endale AD’sse rolligrupp ja tee volitus grupile, siis on hiljem lihtne lisada või eemaldada reaalseid kasutaja kontosid, kes seda tegevust tegema peavad ning Sa ei pea uuesti delegeerimist tegema.

        Mida siis delgeerimisviisard teeb? Kogu tegevus seisneb tegelikult objekti (või omaduste) turbeomaduste muutmises. Ehk sedamasa saab teha ka Security saki kaudu, kui Sa tead mida Sa soovid teha. Security saki kaudu saab tegelikult ka vajadusel “unDelegate” teha, mis piiratud konteksti raames on isegi OK, kuid sealt kaudu terve metsa mingite objektide omaduste turbeomadusi näppida on väga kahtlane tegevus.

         

        Siia jutu juurde ka 1 praktiline näide.

        Olgu meil AD’s defineeritud mingi OU kuhu pannakse kõik tööjaamad, mis domeeni ühinevad. Iga harukontori jaoks on omaette OU, kus siis kohalikud administraatorid majandavad – lingivad GPO’sid, kustutavad kontosid jne. Selleks peaksid saidiadminid liigutama arvutid oma OU’sse.

        Delegeerimisviisardiga on lihtne anda saidiadminidele Create/Delete Computer objects õigusi, KUID selleks et tõsta (move) arvuti konto ühest OU’st teise sellest siiski ei piisa. Liigutamisel antakse üldine Access Denied veateade…

        WHAT!!

        Sügavamal uurimisel tuleb välja, et miinimum nõuded MOVE operatsiooniks on:

        1. lähte OU’s(konteineris) objekti kustamisõigus (tehtud);
        2. siht OU’s (konteineris) objekti loomisõigus (tehtud);
        3. WRITE PPROPERTY objekti kohta, mida liigutatakse ( ehk siis näiteks arvuti objekti liigutades, muutub tema  CN ja RDN. Ja seda Delegate Control ei teinud.

        Võimalik, et ühel ilusal päeval on ka move operatsiooni lihtne delgeerimisviisardiga paika sättida.

         

        Keywords: active directory, move object, access denied.