Portal samoobsługowy i kompleksowe zarządzanie Active Directory w Urzędzie Miasta Stołecznego Warszawy Konrad Rogalewski Główny specjalista Biuro Informatyki i Przetwarzania Informacji Wydział Zarządzania Infrastrukturą Teleinformatyczną
Agenda Urząd Miasta w liczbach Wyzwanie Wymagania Rozwiązanie Korzyści Podsumowanie
Urząd Miasta w liczbach Zasięg: 18 dzielnic Obszar 517 km2 1,8 mln mieszkańców Urząd obsługuje: 3 500 pracowników Infrastruktura: 400 serwerów W tym 7 kontrolerów domen Dział IT 18 jednostek organizacyjnych (dzielnic) 5 administratorów serwerów 4 administratorów sieci 100 pracowników zarządzających AD Domena – 7500 aktywnych użytkowników
Potrzeby Delegacja zarządzania obiektami Odblokowywanie kont Reset haseł kont AD Relokacja obiektów Operacje masowe na obiektach Planowanie operacji Aktualizacja danych Samoobsługa kont Audyt zmian w Active Directory Audyt zmian dla zasobów plikowych Audyt zasobów exchange Raportowanie
Problemy: Czasochłonność Brak zasobów kadrowych Brak realizacji zaawansowanych zadań administracyjnych Hamowanie rozwoju organizacji Założenia: Przekazanie drobniejszych zadań administracyjnych w AD do administratorów biznesowych poszczególnych dzielnic miasta i innych jednostek organizacyjnych Przekazanie zadań zarządzania kontem do samych użytkowników
Wymagania Powiadamianie użytkowników o zbliżającym się terminie wygaśnięcia hasła w AD Możliwość samodzielnej zmiany hasła i odblokowanie konta przez użytkownika Możliwość samodzielnej edycji danych użytkownika w AD Możliwość audytowania zmian w AD, w tym w grupach i jednostkach organizacyjnych W przypadku próby włamania do domeny, możliwość szybkiej identyfikacji źródła ataku Polski interfejs użytkownika
Rozwiązanie Wykorzystanie Zarządzanie domenami Pełna kontrola nad uprawnieniami Szablon tworzonych kont Oddelegowanie zadań poza IT Wykorzystanie Portal samoobsługi Zarządzanie hasłami Powiadomienia o wygaśnięciu hasła Wprowadzone zmiany organizacyjne pozwoliły zaoszczędzić 20% czasu, z przeznaczeniem na zaawansowane projekty administracyjne Umożliwienie użytkownikom samodzielnej zmiany ich informacji w AD, spowodowało tylko w skali jednego roku wzrost aktualności danych o 90%*.
Rozwiązanie Wykorzystanie Monitorowanie zmian w AD Monitorowanie zasobów plikowych Powiadomienia Nadzór nad zmianami Wykorzystanie Monitorowanie zasobów Exchange Monitorowanie ruchu Wprowadzone zmiany umożliwiły jednoznaczną identyfikacje źródła zmiany w przypadku obiektu oraz pliku. Szczegółowa analiza ruchu umożliwia wychwytywanie nadużyć związanych z nieprzestrzeganiem polityki bezpieczeństwa i regulaminów wewnętrznych.
Korzyści operacyjne Rutynowe czynności oddelegowane do administratorów biznesowych (dzielnice) oraz zespołów helpdesk Możliwość oddelegowania uprawnień do osób nie związanych z IT w celu tworzenia kont użytkowników (Wydział Ochrony Danych Osobowych) Możliwość przygotowania bardzo szczegółowych ról Pełen nadzór w procesie zarządzania obiektami AD – delegacja i kontrola uprawnień, audyt zmian
Korzyści operacyjne Automatyzacja procesu tworzenia kont użytkowników za pomocą szablonów Przygotowano wygodne szablony nazewnictwa kont w zależności od lokalizacji i wymagań Możliwość definicji polityki haseł w szablonach udostępnionych administratorom biznesowym Obsługa konta AD i Exchange z jednego poziomu – wspólna konsola 20% więcej czasu na obowiązki typowo administracyjne
Korzyści operacyjne Generowanie raportów dla odpowiednich służb o wygasających kontach, co pozwala szybko reagować i podejmować odpowiednie kroki Generowanie raportu o kontach nieaktywnych przez dłuższy okres i przenoszenie tych kont do specjalnego kontenera oraz zarządzanie tymi kontami Szybka realizacja zleceń typu „utworzenie 100 kont dla projektu unijnego” za pomocą pliku CSV Obsługa exportu raportów do następujących formatów: PDF, HTML, XLS, CSV Generowanie raportów wg harmonogramu z możliwością wysyłania w formie załącznika do e-maila Zaawansowane raportowanie i przejrzysty widok główny Możliwość zbiorowej modyfikacji atrybutów, z wykorzystaniem plików CSV lub mechanizmów filtrowania
Korzyści operacyjne Agregacja i korelacja wszystkich istotnych zdarzeń typu „security” ze wszystkich kontrolerów domen, oraz ich archiwizacja Szybkie i precyzyjne określanie powodu i źródła blokady konta użytkownika Bieżący audyt kont użytkownika w zakresie: błędów logowania, czasu logowania, nazwy stacji i kontrolera, do którego następuje logowanie, logowania do wielu stacji jednocześnie
Korzyści operacyjne Bieżący audyt procesu zarządzania kontem użytkownika i komputera w AD Bieżący audyt procesu zarządzania grupami w AD: kto, co i kiedy zmieniał? Bieżący audyt procesu zarządzania zasadami grupy: tworzenie, kasowanie, zmiana dowiązań, zmiana wartości Bieżący audyt procesu zarządzania jednostkami organizacyjnymi w AD
Korzyści operacyjne Pełna analiza błędów logowania, W przypadku wystąpienia określonych zdarzeń, przesyłanie powiadomień do administratora (np. zmiana członków grupy „Domain Admins”) Wysyłanie cyklicznych raportów o zakładanych kontach, błędnych logowaniach, itd. Podniesienie jakości obsługi zleceń związanych ze zdarzeniami dotyczącymi obiektów w AD Urzędu Miasta: +99% zmian obiektów typu user, group, container, GPO jest audytowana Audyt zasobów na serwerach plików
Korzyści operacyjne Aktualizacja danych w domenie za pomocą konfigurowalnej strony Polepszenie jakości danych gromadzonych w AD – 95% poprawnych i aktualnych danych
Korzyści operacyjne Zmniejszenie zaangażowania pracowników I-szej linii wsparcia oraz administratorów w operacje dotyczące resetu haseł oraz odblokowywania kont domenowych – spadek w skali roku o 90%, Mniejsza ilość zgłoszeń do helpdesk w związku ze zmianami haseł, danych czy odblokowaniem kont, Zmiana hasła możliwa również na komputerach, które nie są w domenie Powiadomienia do użytkownika o zbliżającej się dacie wygaśnięcia hasła,
Korzyści operacyjne Automatycznie generowany schemat organizacyjny Książka adresowa użytkowników domeny, Możliwość zawansowanej parametryzacji systemu, Możliwość spersonalizowania aplikacji, własne układy, Pulpit administratora, Polska wersja językowa.
Korzyści operacyjne System zaawansowanego raportowania organizacji EXCHANGE Wiele przekrojowych raportów Umożliwia audyt uprawnień do zasobów użytkowników Ułatwia identyfikowanie skrzynek nieaktywnych Pozwala szczegółowo raportować aspekty używania list dystrybucyjnych Pozwala śledzić trendy i podejmować właściwe decyzje z dużym wyprzedzeniem Wspiera zaawansowane i rozlegle środowiska klastrowe (CCR oraz NLB)
Korzyści operacyjne
Podsumowanie Kompleksowe podejście do zarządzania AD umożliwiło: Podniesienie jakości obsługi zleceń związanych ze zdarzeniami dotyczącymi obiektów w AD Urzędu miasta Zdjęcie z administratorów obowiązku zakładania kont, Zdjęcie z administratorów obowiązku zarządzania zasobami jednostek podległych, Wprowadzenie pełnej rozliczalności w procesie zarządzania obiektami AD – delegacja i rozliczalność uprawnień
Podsumowanie Kompleksowe podejście do zarządzania AD umożliwiło: Uzyskanie wysokiego współczynnika jakości danych gromadzonych w AD Zmniejszenie zaangażowania pracowników I-szej linii wsparcia oraz administratorów w operacje dot. resetu haseł oraz odblokowywania kont domenowych Zwiększenie skuteczności zarządzania systemem pocztowym
Dziękujemy za uwagę…