如何有效缩减WINDOWS验证和访问控制管理的费用

日期: 2010-06-22 作者:Don Jones翻译:鬼谷 来源:TechTarget中国 英文

什么是身份认证管理?对我们大多数人来说,这就是活动目录管理。当然对很多其它公司来说可能意味着另外一些东西:非微软的目录管理比如本地Unix系统、本地Windows账户、SAP帐号等等。   我有几个咨询的客户,大概花费120美元每客户来维护和变更新增和现有的帐号。在一家拥有5000名雇员的企业里,按每年人员流动率为10%、帐号变更率为40%(职位提升、变动等等)来算,大概每年花在这上面的钱是30万美元。

  为什么会花费这么多?部分原因是Windows作为操作系统本身,没有做好它的本职工作来让我们管理身份验证和访问控制。说到它的身份验证,无非就是活动目录-但是大部分公司都拥有很多系统,这些系统……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

什么是身份认证管理?对我们大多数人来说,这就是活动目录管理。当然对很多其它公司来说可能意味着另外一些东西:非微软的目录管理比如本地Unix系统、本地Windows账户、SAP帐号等等。

  我有几个咨询的客户,大概花费120美元每客户来维护和变更新增和现有的帐号。在一家拥有5000名雇员的企业里,按每年人员流动率为10%、帐号变更率为40%(职位提升、变动等等)来算,大概每年花在这上面的钱是30万美元。

  为什么会花费这么多?部分原因是Windows作为操作系统本身,没有做好它的本职工作来让我们管理身份验证和访问控制。说到它的身份验证,无非就是活动目录-但是大部分公司都拥有很多系统,这些系统大都无法和活动目录的帐号授权机制集成。在这种情况下,每个非活动目录系统还额外增加了身份验证管理的开销。更不用说这种帐号管理方式事实上是如此的单调沉闷,一味的重复劳动并且容易出错。

  一般而言,Windows在控制管理上表现的就更弱了。一个企业会有各种各样的资源需要安全控制,包括exchange服务器的邮箱、数据库、文件、文件夹、注册表键值、后台服务和目录对象等。在Windows环境下,所有这些都是由它们自己的图形对话框或者更早之前的命令行工具来单独管理的。换句话说,如果老板要求你更改一系列在多个服务器上都有关联的文件,那么你就必须花很多时间在多个对话窗口之间来回切换来完成设置。还是那句话,这是一个非常枯燥并且容易出错的工作,常常被交给‘新来的’或者实习生来做。

  更糟糕且更敏感的问题是“谁需要访问什么系统的权限”。管理员最经常接到的要求就是“给什么人最大的权限”,因为没有人能弄清楚一个用户到底真正需要什么权限。另一个例子是,他们经常被告知“就给他或者她和JOE一样的权限”,但是JOE所有的权限用现有的工具根本就不可能再设置一次。

  总而言之,在这个论题上确实还存在着许多问题。第一个问题关于访问权限查询,就是快速判断谁有访问某个资源的权限或者某个资源上有哪些已被定义的访问规则。另一个问题是我们倾向于在组织内不根据用户来管理权限。基于角色的权限管理方式会更高效,因为它将资源根据工作位置来划分成小组,这样如果要给某个用户增加权限只要简单的赋予这个用户合适的角色就行了。用活动目录的组可以按角色来管理权限,但是在多域或者多森林的域环境中就会变得很复杂。这种情况下用活动目录组来管理就不切实际了。

  关于身份认证和访问控制的最后一个问题是变更控制。在Windows下,管理员有权限更改任何东西-毕竟他们是管理员,这个是他们的工作。但是从公司的角度看,这个权限有点失控了。公司并不愿意没有通过审核和批准,就改变任何一个身份验证和访问控制。Windows内置的机制不提供这方面的支持,这让公司试图通过一些如ITIL、COBIT等等的管理框架来增强内部控制的想法变得困难重重。

  所以答案究竟是什么呢?微软的Identity Lifecycle Manager (ILM)部分回答了这个问题。该产品用于将非活动目录系统和活动目录整合到一起。本质上,它允许你在活动目录或者ILM中管理权限,并且它可以和其它类型的目录同步权限。

  记住同步本身并不是一件不需要维护或者没有争议的学科,所以如果可能的话,减少目录的数量总是一件好事。举个例子,你可能用过一些插件工具来使Unix系统直接整合活动目录,想想一个专门的Unix目录和同步点维护所需要的资源;QUEST软件和Centrify这些公司会提供这样的工具。
Identity Lifecycle Manager 2目前已经正式发行了,最近被改了个名字叫做Forefront Identity Manager (FIM) 2010。这已经是微软将它从Zoomit公司收购之后的第三个或者第四个名字了。最新版本提供了关于对权限管理的变更控制和自助服务选项的支持。这是一个重大的升级,是值得考虑使用ILM的重要原因-不好意思,应该是FIM-就算你没有多目录的环境。

  当然,这个产品也被打上了高价的标签。所有你可能还有努力去寻找一些第三方公司提供的方案,比如Attachmate或者Quest软件。在某些环境中,第三方产品可以替代FIM的功能,它们提供了变更控制和目录同步功能(当然支持的非活动目录相对要少一些)。在一些大的环境中它们也可以做为FIM的补充来使用。

  你花在IAM上的时间和金钱往往难以觉察,除非你在组织内部有一个很好的工作量评估机制。如果你认识你的公司在身份认证和访问控制管理上没有花太大的精力,那么下面两个问题肯定有一个是事实:要不就是你没有很好的管理你的IAM系统,要不就是你在该花多少时间来评估自己上做错了。

  不幸的事实是,Windows自带的IAM功能常常不够用,除非是在那些只有微软系统的小公司。我们需要额外的工具来提供自动化和可以做变更控制的IAM,查询权限,生成报告,并且能基于角色来管理权限。我建议你考虑 Identity Lifecycle Manager或者它的升级版本FIM,然后考察第三方工具来对那些重要的失控的漏洞提供补充。

作者

Don Jones
Don Jones

投稿作者

翻译

鬼谷
鬼谷