DynamicGroup: automatizzare gli utenti dei gruppi Active Directory

06/08/2019 Nessun commento Reading Time: 4–5 minutes

dynamic-group-01

DynamicGroup è un tool di FirstAttribute utile ad automatizzare l'appartenenza ai gruppi Active Directory in modo veloce riducendo il carico amministrativo permettendo di risparmiare tempo.

Gli amministratori di Active Directory sanno perfettamente che la gestione corretta delle appartenenze ai gruppi AD può rivelarsi un'attività molto dispendiosa in termini di tempo con il rischio di perdere traccia dei permessi effettivamente assegnati. Soprattutto se un utente cambia diversi dipartimenti, tutte le membership devono essere riviste e modificate per adattarsi per la nuova funzione. A volte i permessi rimangono invariati aprendo un potenziale problema in termini di sicurezza.

Spesso gli amministratori effettuano copie di utenti esistenti utilizzandoli come template durante la creazione di nuovi account. Se le membership non vengono rimosse o aggiornate correttamente, queste vengono inevitabilmente assegnate anche al nuovo account. E' evidente che tenere traccia dei permessi assegnati e delle membership ai gruppi può essere complicato e fuori controllo. DynamicGroup è il tool che aiuta a risolvere e gestire questa problematica.

dynamic-group-02

 

DynamicGroup per automatizzare gli utenti dei gruppi Active Directory

Il software prevede diverse funzioni che aiutano il lavoro quotidiano degli amministratori dell'ambiente di Active Directory:

  • I gruppi possono essere copiati come template
  • Con il filtro LDAP, l'appartenenza ai gruppi può essere creata facilmente
  • I gruppi possono essere creati con un processo di import massiccio
  • Creazione smart di gruppi basati su attributi e OU
  • Disponibile l'anteprima di un gruppo dinamico per vedere i potenziali membri
  • Configurazione della lista di inclusione o esclusione per la gestione dell'appartenenza ai gruppi
  • Configurazione dell'intervallo di tempo per riempire o svuotare il gruppo

 

Requisiti

Per utilizzare il tool DynamicGroup è necessario soddisfare i seguenti requisiti:

  • Microsoft Windows Server 2008 R2 o successivo
  • Windows Vista, 7, 8, 8.1, 10
  • .Net Version 4.5 (o successivo)
  • Active Directory (livello funzionale minimo Windows Server 2003)

DynamicGroup non deve essere installato in un Domain Controller poichè il software non funzionerebbe per motivi di sicurezza.

 

Licenza

DynamicGroup è licenziato in base al numero di utenti gestiti (oggetto utente).

 

Come funziona DynamicGroup

DynamicGroup genera dei gruppi dinamici in Active Directory ed assigna la group memberships automaticamente. DynamicGroup si basa su filtri LDAP e permette di assegnare le group membership a gruppi specifici nonchè il monitoraggio automatico di questi gruppi.

Le group membership possono essere automaticamente aggiunte o rimosse semplicemente cambiando gli attributi degli oggetti utente con i dynamic security group. L'attributo Department degli oggetti utente è utilizzato per questa funzionalità.

 

Installare DynamicGroup

Scaricare il software DynamicGroup ed effettuare un doppio click sul file di installazione. Cliccare Next per procedere con l'installazione.

dynamic-group-03

Accettare l'EULA e cliccare su Next.

dynamic-group-04

Lasciare la destinazione di default del folder e cliccare su Next.

dynamic-group-05

Cliccare Install per installare DynamicGroup.

dynamic-group-06

Il software viene installato nel sistema.

dynamic-group-07

Quando il prodotto è stato installato correttamente, cliccare Finish per uscire dal wizard.

dynamic-group-08

Effettuare un doppio click sull'icona per avviare il software.

dynamic-group-09

Alla prima esecuzione, il software DynamicGroup software si avvia in Evaluation mode per 30 giorni (versione pienamente funzionale) se non viene installata nessuna licenza. Cliccare OK.

dynamic-group-10

 

Configurazione iniziale

Durante il primo utilizzo, viene visualizzato il wizard della configurazione iniziale. Specificare un account con i permessi di  Domain Administrator utilizzato per accedere il proprio ambiente Active Directory e cliccare su Next.

dynamic-group-11

Per beneficiare delle funzionalità disponibili, selezionare l'opzione Extend Schema with new Attributes for use within Dynamic Group configuration quindi cliccare su Next.

dynamic-group-12

Cliccare Next.

dynamic-group-13

Specificare Console e Service Administrator Group e cliccare su Apply.

dynamic-group-14

La DynamicGroup Console viene visualizzata.

dynamic-group-15

 

Installare la licenza

Se è stata acquistata la regolare licenza, cliccare sul menu ? e selezionare Install License.

dynamic-group-16

Cliccare Browse per selezionare il file della licenza e cliccare su Install.

dynamic-group-17

La licenza è stata installata correttamente. Cliccare OK.

dynamic-group-18

 

Configurare il tool DynamicGroup

 

Installare il servizio

Il software utilizza dei servizi per aggiungere o rimuovere gli utenti dai gruppi. Selezionare Services > Install Service per procedere con l'installazione del servizio.

dynamic-group-19

Specificare l'utente con i permessi di amministratore per installare il servizio nel computer di destinazione e cliccare Next.

dynamic-group-20

Selezionare il Target Server tramite l'icona Browse. Specificare inoltre il service account con i permessi di Local Administrator utilizzato per eseguire il servizio. Lasciare il valore di default per l'Installation Path. Cliccare Next.

dynamic-group-21

Specificare una differente Search Root se richiesto ed indicare la schedule per il calcolo dei membri del Dynamic Group. Cliccare su Install quando fatto.

dynamic-group-22

Il servizio è stato installato correttamente. Cliccare OK.

dynamic-group-23

Posizionarsi nella sezione Service e specificare il Preferred Domain Controller. DynamicGroup effettuerà la query prima a questo DC per ottenere le informazioni e scrivere le variazioni. Cliccare sul bottone Connect service per avviare il servizio.

dynamic-group-24

 

Configurare un Gruppo Dinamico

Quando si avvia DynamicGroup, si visualizza una struttura ad albero delle cartelle simile a quanto è possibile vedere nella console di Active Directory Management. Nel container Saved Query sono contenute tutte le query che sono state create.

dynamic-group-25

Per configurare un gruppo dinamico, dalla console selezionare un gruppo esistente di Active Directory per accedere alla pagina di configurazione dei Dynamic Groups.

 

General

Selezionare Enable nella sezione DynamicGroup. Se il gruppo viene indicato come Enabled o Disabled sono visualizzate delle nuove pagine di configurazione.

A seconda dell'opzione selezionata per il gruppo, si possono ottenere diversi comportamenti:

  • Enabled - il gruppo viene aggiornato ogni volta che il servizio di Dynamic Group viene eseguito a seconda della propria configurazione.
  • Disabled - il gruppo non viene aggiornato durante il calcolo dei membri del servizio.

dynamic-group-26

 

Query Settings

Il calcolo dei membri del gruppo del gruppo selezionato viene processato in accordo con i parametri specificati in questa pagina. Un basso numero assegnato (per default 1 ai nuovi gruppi) al gruppo conferirà una priorità maggiore e il servizio effettuerà prima il calcolo di questi gruppi rispetto ai gruppi con bassa priorità.

dynamic-group-27

 

Member Query

In questa pagina è possibile configurare la funzionalità principale di DynamicGroup creando la query che definisce l'appartenenza ai gruppi Dynamic Group.

Specificare la modalità in cui una OU viene ricercata in AD (il Subtree completo o solo un livello) oltre alle Query Conditions.

dynamic-group-28

 

Include / Exclude

Indifferentemente dai parametri specificati nella query, è possibile selezionare oggetti specifici da includere o escludere come membri.

dynamic-group-29

 

Members / Member of

Nella sezione Members si possono vedere i membri correnti del gruppo mentre la sezione Member of indica una lista di gruppi in cui il Dynamic Group ne è un membro.

Quando le impostazioni desiderate sono state completate, cliccare su Save per salvare la configurazione.

dynamic-group-30

Poichè le modifiche vengono applicate a seconda della schedulazione del servizio DynamicGroup, per applicare immediatamente le modifiche fatte al Gruppo Dinamico cliccare su Update Group.

dynamic-group-31

 

Test della query LDAP

Quando la query LDAP è stata configurata, è possibile testare il risultato cliccando sul bottone Preview.

dynamic-group-32

Il risultato mostra i membri che sono aggiunti al Gruppo Dinamico. Questo permette di verificare se DynamicGroup funziona come ci si attende.

dynamic-group-33

Quando il servizio DynamicGroup esegue la query, i membri del gruppo vengono aggiornati a seconda dei criteri specificati nella query corrispondente.

dynamic-group-34

Con il tool DynamicGroup, la gestione dell'appartenenza ai gruppi può essere automatizzata cambiando gli attributi degli oggetti utente, permettendo inoltre di monitorare la group membership tramite i filtri LDAP. Questa soluzione permette di avere un ambiente Active Directory sicuro e ordinato riducendo il carico sul reparto IT.

DynamicGroup è disponibile per il download come 30-day trial pienamente funzionante.

signature

Related Posts

About The Author

Paolo Valsecchi

System Engineer, VCP-DCV, vExpert, VMCE, Veeam Vanguard, PernixPro. Esperienza lavorativa focalizzata su VMware vSphere, Microsoft Active Directory e soluzioni di backup/DR.