Generelt (Vigtigt)
Ved anvendelse af AD grupper i EjdExplorer og specifikt ved SQL Server, skal det påpeges, at det skal gøres med stor forsigtighed. Risikoen for uheldige opsætninger er meget stor idet AD grupper også anvendes udenfor SQL server miljøet og at tildeling af medlemmer til AD gruppen IKKE sker indenfor SQL server miljøet. At anvende indlejret AD grupper er endnu mere risikofyldt og bør derfor helt undgås. Hvis anvendelse af AD grupper i SQL server miljøet, bør dette være funktions specifikt og ikke lokation specifikt. Dette betyder, at det anvendte AD gruppe navn bør være sigende, som f.eks. EjdExplorerAdministrator. Besparelsen ved at kun lægge alle brugere fra en lokation i en AD gruppe, er hurtigt brugt ved fejlfinding af, hvorfor specifikke brugere har adgang / ikke adgang til specifikke funktionaliteter. Alle brugere indenfor en given lokation (kontor, team, gruppe) har individuelle funktioner, der ikke bør lægges sammen i en. Det er også derfor at SQL Server begrebet Rolle er opstået. Det er sjældent at alle i et team har samme rolle.
Anbefaling
Derfor ANBEFALES det, at ved anvendelse af AD gruppe med sysadmin rettigheder, at følgende regler følges.
•AD gruppen navngives så det kan ses, at den anvendes i forbindelse med en SQL Server
•Ikke anvende allerede oprettede AD grupper, der anvendes andre steder.
•Ingen indlejring af anden AD gruppe(r) i AD gruppen.
•Kun brugere der har brug for sysadmin rettigheder placeres i AD gruppen.
•At SQL Server Administrator kan se (kun læse rettigheder) AD gruppens medlemmer i et program fx RSAT (Remote Server Administration Tools for Windows 10).
Ord forklaring
AD grupper (Active directory)
Active Directory er et kartotek eller opslagstjeneste der bliver brugt til at opbevare informationer om netværket og ressourcer henover et domæne.
Active Directory (AD) er en hierarkisk opbygget struktur af objekter. Objekterne er inddelt i 3 kategorier:
•Ressourcer (e. g. printers)
•Brugerne (bruger konti og grupper)
AD sørger for informationer, organisere, og kontrollere adgang og sætter sikkerhed for objekterne.
Eksempler
Eks:
LIFA\OISTEST er en AD gruppe med medlemmerne: AD gruppen IST_Test og ????
Idet AD gruppen LIFA\OISTEST er i rollen sysadmin (kan tilgå alle databaser uden at være tilknyttet den specifikke database) nedaves det til AD gruppen IST_Test og alle dens medlemmer.
Idet vi i SQL Server Management Studio ikke kan se medlemmer eller under grupper i LIFA\OISTEST, har vi intet overblik over hvilke brugere, der har fået sysadmin rettigheder.
Eks:
Ved inddeling af kontorer / teams i AD grupper og ikke i funktions AD grupper, kan få uheldige følger, med manglende overblik.
Ny person (feks. praktikant) bliver tildelt til teamet og teamets AD gruppe. Hvis denne AD gruppe er opsat til EjdExplorer Administrator, så bliver den nye person også administrator af EjdExplorer Administrator
Eks:
Ved ændring af rettigheder for overordnet AD gruppe indeholdende indlejret AD gruppe, kan have uhensigtmæssige følger for enkelt personer, der nu ikke har tilgang til ressourcer, de skulle anvende i deres arbejde.
Hvis den overordnede AD gruppe har sysadmin rettigheder til en SQL Server, nedarves dette også til den indlejrede AD gruppes medlemmer. Hvis så den overordnede AD gruppe får fjernet sin sysdamin rettighed, vil alle medlemmer af den underliggende AD gruppe også miste deres sysadmin rettighed.
AD gruppe "LIFA\OISTEST" AD gruppe "LIFA\OISTEST" rettigheder
AD gruppen "LIFA\OISTEST" i Active Directory. Dens medlemmer og indlejret AD gruppe "IST_TEST"
