Tags:
create new tag
, view all tags

Verbesserte nethz-AD Integration

Ausgangslage

Im Active Directory befinden sich zur Zeit ca. 300k Objekte. Tendenz stark steigend. Für einige Dinge wie Computer-Objekte existiert keine Verbindung nethz-AD, da kein griffiges Konzept für ein Lifecycle-Management existiert. Das Thema Computer-Management wird zwar jährlich erneut aufgegriffen, aber meist wieder aus Zeitgründen fallen gelassen. Es gibt eine Liste von Objekten, die eine verbesserte Integration ein übergeordnetes System notwendig hätten.

Computer-Objekte

Im Jahr 2012 wurden 18'000 Computerobjekte im AD gezählt. Diese sind gänzlich von der nethz-DB entkoppelt, werden eigenständig von den OU-Admins erstellt. Etwa 1600 dieser Computerobjekte wurden nie mit dem AD gekoppelt. Es wird vermutet, dass ca. 6000 Objekte obsolet sind und aufgeräumt werden müssten.

zu diskutierende Massnahmen

  • Computer-Objekte mit Ablaufdatum versehen
  • Zuständige OU-Admins periodisch über ablaufende Computer-Objekte informieren
  • Computer-Objekte im Admin-Tool besser sichtbar machen, Verantwortlichkeiten abbilden
  • Einfache, jährliche Bestätigungsmöglichkeit für Computer-Objekte (analog zu nethz-Gästen)
  • komplette Erstellung (auch Bulk-Erstellung ab Excel-Import) im Admin-Tool

OU-Admins

Im Jahr 2012 wurden ca. 450 OU-Admins im AD gezählt. Diese speziell berechtigten User haben keine Abbildung in der nethz-DB.

zu diskutierende Massnahmen

  • OU-Admin Service im Admin-Tool aufbauen
  • Berechtigungen für einzelne OUs in Form von OU-Admingruppen - Mitgliedschaften abbilden
  • OU-Admingruppen in der nethz-DB registrieren

Security-Gruppen und Verteilerlisten

Im Jahr 2012 wurden ca. 18'000 Gruppen (Security- und Verteilerlisten) im AD gezählt. Diese Gruppen haben oft eine Entsprechung im Admin-Tool, aber nicht immer. Die Problematik besteht vor allem darin, dass viele Gruppen «mal schnell» erstellt wurden. Der genaue Zweck der Gruppe wird nicht immer angegeben und oft fühlt sich niemand für diese Gruppen zuständig.

zu diskutierende Massnahmen

  • Ablaufdaten für alle Securitygruppen und Verteilerlisten
  • Periodischer Bestätungszwang, z.B. jedes Jahr (wie bei nethz-Gästen)
  • Einfache, jährliche Bestätigungsmöglichkeit für Gruppen-Objekte (analog zu nethz-Gästen)

-- SwenVermeul - 2013-03-04

Topic revision: r1 - 2013-03-04 - vermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback