Czy da się zablokować grupę?

Podczas codziennej administracji czesto pojawia sie potrzeba zablokowania konta uzytkownika. Podstawowym scenariuszem jest sytuacja, gdy osoba odchodzi z pracy a przez jakis konto musi zostac na wypadek, gdyby trzeba bylo uzyskac dostep do danych jako dokladnie ten uzytkownik.

Czasem jednak przydalby sie mechanizm zablokowania grupy. Prosty scenariusz: “czy ta grupa jest jeszcze potrzebna”? Usuniecie jest zbyt niebezpieczne, a konsekwencje trudne do przewidzenia. Nie ma niestety mechanizmu, pozwalajace na wydanie zapytania “sprawdz czy gdzies ta grupa ma nadane uprawnienia” – owszem, da sie to w pewnym stopniu oskryptowac, ale biorac pod uwage ilosc miejsc, w których mozna nadac uprawnienia, razy ilosc wszystkich komputerów – taki skan trwalby wieki i nie dal 1oo% wyników.

Oczywiscie nie ma opcji ‘zablokuj grupe’ w AD, ale mozna wykorzystac do tego celu fakt, iz deskryptory SID grup dystrybucyjnych nie sa dodawane do tokena uwierzytelniajacego. Artykuly na technecie nie sa w tej kwestii zbyt doslowne:

• Active Directory Users, Computers, and Groups
• Understanding User and Group Accounts

poniewaz jest tam taka informacja:

“[…]They can't have security descriptors associated with them.[…]” czyli “grupy te nie maja deskryptorów bezpieczenstwa”, co mozna zrozumiec tak, iz nie maja swoje SID. A maja. I podczas zmiany typu grupy z “security” na “distribution” nie jest on usuwany.

Wniosek prosty: aby sprawdzic czy grupa jest uzywana, mozna zmienic jej typ na “distribution”… i czekac, trzymajac kciuki.

Autor: nExoR

Comments

• Anonymous
  December 03, 2010
  Tak, to jest rozwiązanie doraźne. Docelowe rozwiązanie wg. mnie to tylko i wyłącznie jakaś metoda zarządzania tworzonymi grupami  i ich rejestracji. Czyli provisioning grup na podstawie składanych wniosków. Wtedy masz sposób na to, żeby raz na jakiś czas odpytać się właściciela takiej grupy, czy jest mu ona nadal potrzebna. A to mobilizuje :). I ułatwia to kilka rzeczy, i automatyzuje, a nawet takie proste rozwiązanie dobrze się sprawdza - mówię z praktyki :)

• Anonymous
  December 03, 2010
  Ta metoda z SIDem niezła! chociaż ja to korzystam z takiego zwierzęcia od 3rd party (Q...), które dość ładnie 'czesze' sieć i robi raporty kto do czego i gdzie ma dostęp (także 'poprzez co'). No ale to 3rd party i kosztuje parę €.