活動目錄更新:用戶自助安全考慮
作者:Randall Gamby
本文介紹了更新活動目錄(AD)數據的最佳實踐,以及允許用戶更新自己的AD的利弊。
問:我們公司允許我們通過內聯網參數選擇頁面更新自己的活動目錄(AD)用戶數據。允許用戶更新自己的AD有身份管理方面的要求嗎?更新AD數據的***實踐是什么?
答:當談到活動目錄更新時,應該仔細地計劃和監測用戶的更改。畢竟,AD不只是用來交換Global訪問列表(GAL):活動目錄是一個企業的訪問庫。這就意味著雖然它有公共信息,但它仍然允許/拒絕對許多應用程序的訪問。此外,目錄跟它所存儲的數據一樣重要,所以你應該控制用戶輸入的信息。電話號碼應該有個給定值(通常是區號),標題應該是HR形式的標題(我記得一個工程師從自助服務中將他的標題寫為“宇宙之主”),其他的用戶數據也應該遵照類似的控制。
從身份管理的角度來看,如果活動目錄被用來訪問,并被用作應用程序的用戶數據記錄庫,上面提到的矛盾觀點能極大的影響應用程序的功能。不完全的、不可接受的,或者只是簡單的錯誤信息就可能導致使用那些數據的應用程序出故障,或錯誤的、無效的訪問權限(要么拒絕授權用戶,要么允許未授權用戶)。
***實踐是:將活動目錄當作企業的庫。也就意味著要架構和計劃終端用戶所管理的領域,給一致的/有效的數據分配所需的控制。(不管控制是一個活動目錄控制、一個過程,還是終端用戶培訓)
讓用戶保持他們自己的信息,可以給管理員節約很多成本,但是如果它會導致不可控,那它所造成的損失將比節省的成本要大很多。
【編輯推薦】
責任編輯:許鳳麗
來源:
TechTarget中國
