220 likes | 455 Views
Portal samoobsługowy i kompleksowe zarządzanie Active Directory w Urzędzie Miasta Stołecznego Warszawy. Konrad Rogalewski Główny specjalista Biuro Informatyki i Przetwarzania Informacji Wydział Zarządzania Infrastrukturą Teleinformatyczną. Agenda. Urząd Miasta w liczbach Wyzwanie
E N D
Portal samoobsługowy i kompleksowe zarządzanie Active Directory w Urzędzie Miasta Stołecznego Warszawy Konrad Rogalewski Główny specjalista Biuro Informatyki i Przetwarzania Informacji Wydział Zarządzania Infrastrukturą Teleinformatyczną
Agenda • Urząd Miasta w liczbach • Wyzwanie • Wymagania • Rozwiązanie • Korzyści • Podsumowanie
Urząd Miasta w liczbach • Zasięg: • 18 dzielnic • Obszar 517 km2 • 1,8 mln mieszkańców • Urząd obsługuje: • 3 500 pracowników • Infrastruktura: • 400 serwerów • W tym 7 kontrolerów domen • Dział IT • 18 jednostek organizacyjnych (dzielnic) • 5 administratorów serwerów • 4 administratorów sieci • 100 pracowników zarządzających AD • Domena – 7500 aktywnych użytkowników
Potrzeby • Delegacja zarządzania obiektami • Odblokowywanie kont • Reset haseł kont AD • Relokacja obiektów • Operacje masowe na obiektach • Planowanie operacji • Aktualizacja danych • Samoobsługa kont • Audyt zmian w Active Directory • Audyt zmian dla zasobów plikowych • Audyt zasobów exchange • Raportowanie
Problemy: • Czasochłonność • Brak zasobów kadrowych • Brak realizacji zaawansowanych zadań administracyjnych • Hamowanie rozwoju organizacji • Założenia: • Przekazanie drobniejszych zadań administracyjnych w AD do administratorów biznesowych poszczególnych dzielnic miasta i innych jednostek organizacyjnych • Przekazanie zadań zarządzania kontem do samych użytkowników
Wymagania • Powiadamianie użytkowników o zbliżającym się terminie wygaśnięcia hasła w AD • Możliwość samodzielnej zmiany hasła i odblokowanie konta przez użytkownika • Możliwość samodzielnej edycji danych użytkownika w AD • Możliwość audytowania zmian w AD, w tym w grupach i jednostkach organizacyjnych • W przypadku próby włamania do domeny, możliwość szybkiej identyfikacji źródła ataku • Polski interfejs użytkownika
Rozwiązanie • Wykorzystanie • Zarządzanie domenami • Pełna kontrola nad uprawnieniami • Szablon tworzonych kont • Oddelegowanie zadań poza IT • Wykorzystanie • Portal samoobsługi • Zarządzanie hasłami • Powiadomienia o wygaśnięciu hasła Wprowadzone zmiany organizacyjne pozwoliły zaoszczędzić 20% czasu, z przeznaczeniem na zaawansowane projekty administracyjne Umożliwienie użytkownikom samodzielnej zmiany ich informacji w AD, spowodowało tylko w skali jednego roku wzrost aktualności danych o 90%*.
Rozwiązanie • Wykorzystanie • Monitorowanie zmian w AD • Monitorowanie zasobów plikowych • Powiadomienia • Nadzór nad zmianami • Wykorzystanie • Monitorowanie zasobów Exchange • Monitorowanie ruchu Wprowadzone zmiany umożliwiły jednoznaczną identyfikacje źródła zmiany w przypadku obiektu oraz pliku. Szczegółowa analiza ruchu umożliwia wychwytywanie nadużyć związanych z nieprzestrzeganiem polityki bezpieczeństwa i regulaminów wewnętrznych.
Korzyści operacyjne • Rutynowe czynności oddelegowane do administratorów biznesowych (dzielnice) oraz zespołów helpdesk • Możliwość oddelegowania uprawnień do osób nie związanych z IT w celu tworzenia kont użytkowników (Wydział Ochrony Danych Osobowych) • Możliwość przygotowania bardzo szczegółowych ról • Pełen nadzór w procesie zarządzania obiektami AD – delegacja i kontrola uprawnień, audyt zmian
Korzyści operacyjne • Automatyzacja procesu tworzenia kont użytkowników za pomocą szablonów • Przygotowano wygodne szablony nazewnictwa kont w zależności od lokalizacji i wymagań • Możliwość definicji polityki haseł w szablonach udostępnionych administratorom biznesowym • Obsługa konta AD i Exchange z jednego poziomu – wspólna konsola • 20% więcej czasu na obowiązki typowo administracyjne
Korzyści operacyjne • Generowanie raportów dla odpowiednich służb o wygasających kontach, co pozwala szybko reagować i podejmować odpowiednie kroki • Generowanie raportu o kontach nieaktywnych przez dłuższy okres i przenoszenie tych kont do specjalnego kontenera oraz zarządzanie tymi kontami • Szybka realizacja zleceń typu „utworzenie 100 kont dla projektu unijnego” za pomocą pliku CSV • Obsługa exportu raportów do następujących formatów: PDF, HTML, XLS, CSV • Generowanie raportów wg harmonogramu z możliwością wysyłania w formie załącznika do e-maila • Zaawansowane raportowanie i przejrzysty widok główny • Możliwość zbiorowej modyfikacji atrybutów, z wykorzystaniem plików CSV lub mechanizmów filtrowania
Korzyści operacyjne • Agregacja i korelacja wszystkich istotnych zdarzeń typu „security” ze wszystkich kontrolerów domen, oraz ich archiwizacja • Szybkie i precyzyjne określanie powodu i źródła blokady konta użytkownika • Bieżący audyt kont użytkownika w zakresie: błędów logowania, czasu logowania, nazwy stacji i kontrolera, do którego następuje logowanie, logowania do wielu stacji jednocześnie
Korzyści operacyjne • Bieżący audyt procesu zarządzania kontem użytkownika i komputera w AD • Bieżący audyt procesu zarządzania grupami w AD: kto, co i kiedy zmieniał? • Bieżący audyt procesu zarządzania zasadami grupy: tworzenie, kasowanie, zmiana dowiązań, zmiana wartości • Bieżący audyt procesu zarządzania jednostkami organizacyjnymi w AD
Korzyści operacyjne • Pełna analiza błędów logowania, • W przypadku wystąpienia określonych zdarzeń, przesyłanie powiadomień do administratora (np. zmiana członków grupy „DomainAdmins”) • Wysyłanie cyklicznych raportów o zakładanych kontach, błędnych logowaniach, itd. • Podniesienie jakości obsługi zleceń związanych ze zdarzeniami dotyczącymi obiektów w AD Urzędu Miasta: +99% zmian obiektów typu user, group, container, GPO jest audytowana • Audyt zasobów na serwerach plików
Korzyści operacyjne • Aktualizacja danych w domenie za pomocą konfigurowalnej strony • Polepszenie jakości danych gromadzonych w AD – 95% poprawnych i aktualnych danych
Korzyści operacyjne • Zmniejszenie zaangażowania pracowników I-szej linii wsparcia oraz administratorów w operacje dotyczące resetu haseł oraz odblokowywania kont domenowych – spadek w skali roku o 90%, • Mniejsza ilość zgłoszeń do helpdesk w związku ze zmianami haseł, danych czy odblokowaniem kont, • Zmiana hasła możliwa również na komputerach, które nie są w domenie • Powiadomienia do użytkownika o zbliżającej się dacie wygaśnięcia hasła,
Korzyści operacyjne • Automatycznie generowany schemat organizacyjny • Książka adresowa użytkowników domeny, • Możliwość zawansowanej parametryzacji systemu, • Możliwość spersonalizowania aplikacji, własne układy, • Pulpit administratora, • Polska wersja językowa.
Korzyści operacyjne • System zaawansowanego raportowania organizacji EXCHANGE • Wiele przekrojowych raportów • Umożliwia audyt uprawnień do zasobów użytkowników • Ułatwia identyfikowanie skrzynek nieaktywnych • Pozwala szczegółowo raportować aspekty używania list dystrybucyjnych • Pozwala śledzić trendy i podejmować właściwe decyzje z dużym wyprzedzeniem • Wspiera zaawansowane i rozlegle środowiska klastrowe (CCR oraz NLB)
Podsumowanie • Kompleksowe podejście do zarządzania AD umożliwiło: • Podniesienie jakości obsługi zleceń związanych ze zdarzeniami dotyczącymi obiektów w AD Urzędu miasta • Zdjęcie z administratorów obowiązku zakładania kont, • Zdjęcie z administratorów obowiązku zarządzania zasobami jednostek podległych, • Wprowadzenie pełnej rozliczalności w procesie zarządzania obiektami AD – delegacja i rozliczalnośćuprawnień
Podsumowanie • Kompleksowe podejście do zarządzania AD umożliwiło: • Uzyskanie wysokiego współczynnika jakości danych gromadzonych w AD • Zmniejszenie zaangażowania pracowników I-szej linii wsparcia oraz administratorów w operacje dot. resetu haseł oraz odblokowywania kont domenowych • Zwiększenie skuteczności zarządzania systemem pocztowym