Kompleksowe zarządzanie AD (Case Study UM Warszawa)
Zapraszamy do uczestnictwa w webinariach poświęconych narzędziom AD

Wstęp

Urząd Miasta Stołecznego Warszawy obejmuje swym zasięgiem lokalizacje na obszarze 517 km 2 i obsługuje 1,8 mln mieszkańców. W urzędzie zatrudnionych jest blisko 7500 pracowników na terenie 18 dzielnic. Urząd dysponuje infrastrukturą, na którą składa się z 270 serwerów w tym 20 kontrolerów domeny. W skład organizacji wchodzi 18 jednostek organizacyjnych (dzielnic). Infrastrukturą zarządza 5 administratorów serwerów, 4 administratorów sieci oraz 40 pracowników zarządzających zasobami AD. W domenie znajduje się ponad 4500 aktywnych kont użytkowników.

Wyzwania w zarządzaniu kontami Active Directory 

Zarządzanie środowiskiem AD o tak rozbudowanej strukturze zaczęło stanowić wyzwanie dla zespołu IT. Zadania takie jak: odblokowywanie kont, reset haseł kont AD, aktualizacja danych w AD stanowiły dużą część czasu pracy zespołu. Taki stan rzeczy uniemożliwiał realizację zaawansowanych zadań administracyjnych i hamował rozwój organizacji.

Aby rozwiązać problem przeprowadzono zmiany organizacyjne połączone z wdrożeniem narzędzia wspomagającego nowy podział zadań. Nowy podział zadań zakłada:

  • przekazanie drobniejszych zadań administracyjnych w AD do administratorów biznesowych poszczególnych dzielnic miasta
  • przekazanie zadań zarządzania hasłami i danymi w AD do techników Helpdesk lub samych użytkowników

Wobec systemu wspierającego zmiany organizacyjne postawiono wymagania:

  • powiadamianie użytkowników o zbliżającym się terminie wygaśnięcia hasła w AD
  • możliwość samodzielnej zmiany hasła i odblokowanie konta przez użytkownika
  • możliwość samodzielnej edycji danych użytkownika w AD
  • polski interfejs użytkownika
  • możliwość audytowania zmian w AD, w tym w grupach i jednostkach administracyjnych
  • w przypadku próby włamania do domeny, możliwość szybkiej identyfikacji źródła ataku 

Rozwiązanie

Do realizacji zdefiniowanych zadań zostało wybrane rozwiązanie firmy ManageEngine, w skład którego weszły aplikacje:

 news_02_2011_adap.png news_02_2011_adman.png
 news_02_2011_adss.png

O wyborze zdecydowały takie argumenty, jak

  • spełnienie wszystkich wymagań
  • prostota i przejrzystość interfejsu dla użytkownika i administratora
  • niski koszt wdrożenia i utrzymania systemu

Pełne wdrożenie rozwiązania trwało ok. 2 miesięcy, głównie ze względu na AD SelfService Plus, gdzie w momencie wdrożenia aplikacja nie była spolszczona; jednocześnie był to atut gdyż możliwe było wykonanie tłumaczenia samodzielnie, dostosowując system do specyfiki Urzędu). Tłumaczenie i dostosowanie aplikacji zajęło administratorom kilka dni, co pozwoliło uzyskać rozwiązanie z interfejsem przyjaznym dla użytkowników.

Do zarządzania domenami Active Directory wykorzystano narzędzie ADManager Plus. W prosty i wygodny sposób oddelegowano uprawnienia do zarządzania domeną 49 specjalistom nadzorującym 18 jednostek organizacyjnych (dzielnic). Utworzono w tym celu 5 ról, które znacznie ułatwiają i przyspieszają zarządzanie delegacją uprawnień.  

Uzyskano prawie pełną kontrolę nad uprawnieniami i delegacją zadań pomiędzy pracownikami departamentu. Administratorzy mogli przekazać uprawnienia do tworzenia kont do osób spoza departamentu IT, takich jak kadry, a dzięki zdefiniowanym szablonom zapewnić jeden standard dla wszystkich tworzonych kont w domenie i zapobiec pomyłkom. 

Przekazali uprawnienia do zmiany, odblokowywania haseł użytkowników pracownikom HelpDesk.

news_02_2011_ad_1.png  news_02_2011_ad_2.jpg
news_02_2011_ad_4.jpg news_02_2011_ad_3.jpg
Wprowadzone zmiany organizacyjne pozwoliły zaoszczędzić 20% czasu na zaawansowane projekty administracyjne.

Do monitorowania zmian w środowisku domenowym wykorzystano narzędzie ADAudit Plus, który w czytelny i przyjazny sposób pozwolił skonfigurować powiadomienia o zmianach kluczowych grup bezpieczeństwa czy nadzorowanie zmian w jednostkach administracyjnych. Obecnie, gdy tylko zostanie zmieniona grupa „Domain Admins” administratorzy otrzymują powiadomienie. Narzędzie też pozwoliło wykryć próby logowania do systemu. Bardzo szybko administratorzy zauważyli na głównym widoku setki prób logowania do domeny. Po sprawdzeniu logów okazało się, że w biurze jednej z dzielnic komputery próbują się logować setki razy do jednego z kontrolerów domeny. Pozwoliło to wykryć wirusa logującego się na konta w domenie i odizolować konkretne komputery w celu usunięcia wirusa.

Do zarządzania hasłami wykorzystano narzędzie ADSelfService Plus, dzięki któremu po spolszczeniu i skonfigurowaniu pod wymagania Urzędu udostępniony został portal self-service dla wszystkich użytkowników domeny.

Umożliwienie samodzielnego aktualizowania danych przez użytkowników spowodowało 30% przyrost aktualnych danych w domenie w skali roku.

Dzięki funkcji wysyłania powiadomień do użytkowników w przypadku wygasania hasła jak również możliwości odblokowywania hasła i konta przez użytkowników bez konieczności kontaktu ze specjalistami HelpDesk udało się zmniejszyć zaangażowanie pracowników działu HelpDesk w incydenty dotyczące haseł o 40%.

news_02_2011_ad_6.jpg news_02_2011_ad_5.jpg
news_02_2011_ad_7.jpg

 

Korzyści zarządcze

  • Przekrojowe raporty,
  • Śledzenie trendów,
  • Monitoring planistyczny - Zarządzanie zmianami: zbieranie danych do planowania rozwoju systemów,
  • Automatyzacja rutynowych działań dla administratorów AD,
  • Optymalizacja czasu pracy administratorów. 

Korzyści administracyjne

ADManager Plus pozwolił osiągnąć następujące rezultaty:

  • Główni administratorzy nie muszą już poświęcać tyle czasu na rutynowe czynności, ponieważ delegowali je do innych administratorów biznesowych (dzielnice)
  • Wprowadzenie pełnej rozliczalności w procesie zarządzania obiektami AD – delegacja i rozliczalność uprawnień
  • +20% czasu więcej na obowiązki typowo administracyjne
  • Możliwość oddelegowania uprawnień do osób niezwiązanych z IT w celu tworzenia kont użytkowników (Wydział Danych Osobowych)
  • Zespół HelpDesk otrzymał uprawnienia do odblokowywania i resetowania haseł użytkowników
  • Przygotowano wygodne szablony nazewnictwa kont w zależności od lokalizacji
  • Zautomatyzowano proces tworzenia kont użytkowników za pomocą odpowiednio przygotowanych szablonów
  • Możliwość definicji polityki haseł w szablonach udostępnionych administratorom biznesowym
  • Generowanie raportów dla kadr o wygasających kontach, co pozwala szybko reagować i podejmować odpowiedni kroki
  • Generowanie raportu o nieaktywnych kontach przez dłuższy okres i przenoszenie tych kont do specjalnego kontenera
  • Szybka realizacja zleceń typu utworzenie 100 kont dla projektu unijnego za pomocą pliku csv.
  • Obsługa podczas exportu raportów następujących formatów: PDF, HTML, XLS, CSV
  • Generowanie raportów wg. harmonogramu z możliwością wysyłania jako załącznik maila.
  • Zarządzanie atrybutami Exchange 2007 i 2010 (wspólna konsola dla AD i EX)
  • Zaawansowane raportowanie i przejrzysty główny widok
  • Możliwość zbiorowej modyfikacji atrybutów, z wykorzystaniem plików CSV lub mechanizmów filtrowania 

ADAudit Plus pozwolił osiągnąć następujące rezultaty:

  • Agregacja wszystkich istotnych zdarzeń typu „security” ze wszystkich 20 kontrolerów domeny
  • Szybko i precyzyjnie określa powód i źródło blokady konta użytkownika. Aplikacja pozwoliła szybko wykryć ataki wirusa i jego lokalizacje w organizacji, który próbował logować się do domeny i blokował konta
  • Audytuje konto użytkownika w zakresie: błędy logowania, czas logowania, nazwa stacji i kontrolera do którego następuje logowanie, logowania do wielu stacji jednocześnie
  • Audytuje proces zarządzania kontem użytkownika i komputera w AD
  • Audytuje proces zarządzania grupami w AD: kto, co i kiedy zmieniał
  • Audytuje proces zarządzania zasadami grupy: tworzenie, kasowanie, zmiana dowiązań, zmiana wartości
  • Audytuje proces zarządzania jednostkami organizacyjnymi w AD
  • Umożliwia analizę błędów logowania
  • W przypadku wystąpienia określonych zdarzeń system potrafi wysłać wiadomość do administratora (np. zmiana członków grupy Domain Admins)
  • Wysyłanie raportów cyklicznych o zakładanych kontach, błędnych logowaniach, itd.
  • Podniesienie jakości obsługi zleceń związanych ze zdarzeniami dotyczącymi obiektów w AD Urzędu miasta –+99% zmian obiektów typu user, group, container, GPO jest audytowana 

ADSelfService Plus pozwolił osiągnąć następujące rezultaty:

  • Polepszenie jakości danych gromadzonych w AD – w skali roku +30% przyrost poprawnych i aktualnych informacji
  • Zmniejszenie zaangażowania pracowników I-szej linii wsparcia oraz administratorów w operacje dotyczące resetu haseł oraz odblokowywania kont domenowych – spadek w skali roku –40%
  • Możliwość spersonalizowania aplikacji
  • Możliwość spolszczenia aplikacji
  • Aktualizacja danych w domenie za pomocą konfigurowalnej strony
  • Zmiana hasła możliwa również na komputerach, które nie są w domenie
  • Mniejsza ilość zgłoszeń do HelpDesk’u w związku ze zmianami haseł, danych czy odblokowaniem kont
  • Powiadomienia do użytkownika o zbliżającej się dacie wygaśnięcia hasła
  • Możliwość przeszukiwania domeny przez użytkowników

Podsumowanie

Wdrożenie rozwiązania połączone ze zmianami organizacyjnymi zdecydowanie poprawiły jakość i efektywność pracy Biura Informatyki. Osiągnięte wyniki na poziomie od 20 do 40 procent poprawy dały podstawę do dalszego rozszerzania funkcjonalnego i ilościowego systemu. Obecnie instalacja narzędzi AD jest jedną z największych w Europie. 

Prezentację z Case Study mozna znaleźć w dziale Case Studies

 

Dodaj komentarz


Kod antysapmowy
Odśwież

wstecz

Nowości

Newsletter

MWT Solutions - Helpdesk, Servicedesk, Service desk, ITIL