Active Directory při využití nových aplikací, cloudu či posílení bezpečnosti

Kvalitní implementace a struktura Active Directory je důležitým základem pro nasazování dalších podnikových aplikací, využívání cloudových služeb i pro spolehlivé zajištění podnikové bezpečnosti.

Aplikace a cloud

Aplikace jako Microsoft Exchange, Skype for Business, SharePoint či virtualizace aplikací a desktopů (Citrix XenDesktop, VMware Horizon, Microsoft Remote Desktop Services) pro svou funkci AD přímo vyžadují. Také infrastrukturní služby jako DNS, DHCP, PKI, ale i databáze, souborové služby a mnoho dalších tvoří v konjunkci s AD ucelený ekosystém.

V případě, že uvažujete o využívání služeb Microsoft Azure, tak propojení s on-premise AD zabezpečíme s využitím Azure AD Connect (AADC) nebo Active Directory Federation Services (ADFS). Velmi často předchází vlastnímu propojení nutnost úprav na straně on-premise AD: přihlašovací jména v nevhodném formátu (UPN, sAMAccountName), nesoulad UPN a e-mailové adresy uživatele, nevyplněné/neúplné/neaktuální uživatelské účty (telefon, oddělení, e-mailová adresa a další). Potřebné údaje bývají čerpány z různých systémů pomocí skriptů. Dále úpravy GPO v oblasti delegování administrativních oprávnění, politiky hesel, šifrovacích algoritmů, certifikátů.

Bezpečnost

Skutečně dobře navržené a využívané služby Active Directory omezují výskyt bezpečnostních incidentů: máte-li koncové body pod kontrolou, zvyšujete významně celkovou bezpečnost. Rovněž lze díky AD velmi účinně zamezit kumulování nepotřebných oprávnění daného uživatele v čase, zabránit v přístupu do relevantních systémů po propuštění zaměstnance či zajistit schopnost prokázat, kterých oprávnění je v daném čase daný uživatel držitelem.

Active Directory umožňuje jednotnou správu certifikátů, jednotné ověřování a tedy i vícefaktorovou autentizaci. Dále může AD sloužit pro ukládání klíčů BitLocker (technologie pro šifrování koncových stanic). V případě, že klíč konkrétní uživatel zapomene, má pověřená osoba přes AD přístup k daným klíčům a může vše potřebné zachránit.

Active Directory nabízí úzkou integraci s interní certifikační autoritou AD CS (Active Directory Certificate Services). Certifikáty je třeba nejen vydávat, ale doručovat je koncovým stanicím a uživatelům. Certifikáty lze použít při ověřování identity osoby či objektu nebo zajištění toho, že informace budou dostupné jen určeným osobám. Jsou použitelné též při šifrování, při kterém jsou informace skryty způsobem nerozluštitelným pro neoprávněné osoby či při digitálním podpisování, zajišťujícím neodvolatelnost a integritu zprávy.

Využití Active Directory: