5个活动目录管理痛点

 来自外部的威胁应该是组织一直关注的问题。但是，大多数组织甚至都没有意识到当今最具破坏性的安全威胁来自组织内部。

在管理中最容易出错的5个错误，对于每个错误，都应慎重。

痛点1：向用户或组授予过多的权限

控制权限最简单的一种方法是向每个用户授予最高权限。但这样也有弊端，用户获得的权限超出其所需的权限，如查看，修改或删除敏感文件的权限，都可能导致数据丢失，破坏，不正确的修改等。建议向每个用户提供部分权限，如采用最小特权原则：仅授予每个用户完成工作所需的最小权限。为了进一步降低风险，管理员应在授予用户任何新权限之前查看用户和组的权限。此外，授予用户临时权限是确保以后不会滥用权限的好方法。

解决之道：ADManager Plus可以帮助您在指定的时间段内为用户和组精细地分配权限。您还可以查看向每个用户和组授予了哪些权限，并使用预配置的报告对它们进行相应的修改。

痛点2：错误分配组成员身份

将用户添加到AD组后，由于嵌套的组成员身份，可能会将他们间接添加到顶级安全组中。通常，组成员资格是在用户创建时分配的，并且仅在有限的场合（例如晋升或转移到其他部门或位置）进行修改。但是，在重新分配成员身份之前，建议您运行报告，标识每个用户的组成员身份，并撤消不适当的权限。当您要基于用户的名称或团队将用户分配给组时，基于角色的模板将派上用场。

解决之道：ADManager Plus提供有关组的详细报告，清楚显示每个用户，组，联系人和计算机所属的嵌套组。

痛点3：无法清理过时的帐户

当员工离职后，应剥夺其帐户的特权，然后取消其配置；如果不这样做，恶意内部人员可能利用陈旧的帐户来访问组织的资源。此外，软件许可的成本很高，因此管理员应从未使用的帐户中释放许可，然后将其重新分配给活动用户。您需要定期标识不活动的用户帐户，以及时进行AD清理。

解决之道：使用ADManager Plus，您可以自动识别陈旧帐户，删除它们的组成员身份，撤消其所有权限，删除Office 365许可或删除、禁用它们。您可以访问我们的官网，了解ADManager Plus如何通过其删除和禁用策略简化预配置。

痛点4：在未指定适当边界的情况下委派任务

当您使用Windows内置的委派控制向导时，委派会变得繁琐。当授予用户执行AD中某些操作（例如创建用户或重置其密码）的权限时，强制执行必要的限制就变得至关重要，以免这些用户滥用权限。

解决之道：借助ADManager Plus，您可以安全地将权限委派给服务台，而无需实际提升AD中的权限。ADManager Plus还具有帮助台审核报告，以跟踪帮助台技术人员的操作。了解更多。

痛点5：出现数据输入错误

用户配置通常是一个漫长的手动过程。如果将新用户添加到错误的组，分配了不正确的许可，或者其主文件夹或配置文件路径配置不正确，则入职不能顺利进行。类似地，基于事件（例如，更改其位置，角色或指定）的用户修改意味着管理员必须花费时间和精力重新检查用户的现有权限以进行任何必要的更改，从而降低出错几率。

解决之道：ADManager Plus提供了可定制的基于规则的模板，这些模板具有基于部门，位置或名称的预加载值，这使IT管理员的用户帐户管理变得轻而易举。