Objekti u domenu se mogu organizovati tako da administrativni zadaci mogu da budu značajno pojednostavljeni. Dobro dizajnirana struktura organizacionih jedinica odražava IT administrativni model organizacije i omogućuje administratorima delegiranje ovlašćenja, što smanjuje opterećenje centralizovane administracije. Pre nego što se počne sa dizajnom organizacionih jedinica potrebno je imati razumevanje organizacionog IT i način na koji je on izgrađen.
Delegiranje administrativne kontrole može da bude zasnovano na objektima ili na zadacima. Prvo bi trebalo odrediti administrativne zadatke, zatim nivo delegiranja kontrole i na kraju objekte na koje će se delegiranje kontrole odnositi.
Slika 1. Delegiranje zasnovano na objektima
U slučaju delegiranja administrativne kontrole zasnovane na objektima, dizajn organizacionih jedinica se oslanja na tipove objekata koji su predmet delegirane kontrole.
Primeri objekata su korisnici, računari, sajtovi, domeni i organizacione jedinice. Određenoj osobi ili grupi se može delegirati administrativna kontrola objekata koji su sadržani u organizacionoj jedinici. Ovo se postiže tako što se u određenu grupu postavi korisnik ili grupa korisnika, a određeni objekti koji su predmet kontrole postave se u organizacionu jedinicu i na kraju se grupi delegira kontrola nad tom organizacionom jedinicom.
U slučaju delegiranja administrativne kontrole zasnovane na zadacima, dizajn organizacionih jedinica se oslanja na administrativne zadatke koji treba da budu izvršeni.
Slika 2. Delegiranje zasnovano na zadacima
Ti zadaci mogu biti kreiranje korisničkih lozinki, zamena korisničkih lozinki i brisanje i upravljanje korisničkim nalozima koji se nalaze u određenoj organizacionoj jedinici. Koju vrstu delegiranja kontrole ćemo izabrati zavisi od administrativnog modela koji je implementiran u organizaciji.
Nasleđivanje predstavlja efektivan način dodeljivanja prava ili delegiranja kontrole nad objektima. Prednost nasleđivanja je ta što administrator može da upravlja dozvolama nad svim objektima unutar organizacione jedinice ne vodeći računa o objektima naslednicima kreiranih unutar određene organizacione jedinice.
Administrator može da dodeli prava samo na objektu, objektu i svim njegovim objektima naslednicima, samo objektima naslednicima ili posebnim tipovima objektima naslednicima kao što su računari, korisnici ili grupe.
Slika 3. Nasleđivanje
U aktivnom direktorijumu dozvole nad objektom se čuvaju u obliku atributa objekta. Kada se kreira objekat, njegova diskreciona lista za kontrolu pristupa (DACL) se određuje na osnovu podrazumevanih dozvola za taj tip objekta po šemi aktivnog direktorijuma i po dozvolama od objekta prethodnika.
Kada se odredi najbolji administrativni model za organizaciju, potrebno je napraviti strukturu koja će najbolje odražavati način upravljanja resursima u organizaciji. Ti resursi uključuju korisnike, računare, grupe, štampače i deljene dokumente. Struktura administrativnog modela pokazuje kako su određene osobe ili grupe osoba odgovorne za upravljanje određenim resursima u organizaciji.
Prva strategija zasnovana na lokaciji podrazumeva situaciju da je organizacija IT grupe centralizovana, ali je administracija mreže geografski raspodeljena.
Druga strategija zasnovana na organizaciji podrazumeva da je IT grupa podeljena na sektore ili poslovne jedinice tako da svaka od njih ima svoju IT grupu.
Strategija zasnovana na funkcionalnosti podrazumeva decentralizovanu IT grupu i usaglašenost administrativnog modela sa poslovnim funkcijama u organizaciji.
Mešana strategija zasnovana na lokaciji i organizaciji podrazumeva da je struktura hijerarhijski viših organizacionih jedinica zasnovana na lokaciji, a hijerarhijski nižih zasnovana na organizaciji.
Mešana strategija zasnovana na organizaciji i lokaciji podrazumeva da je struktura hijerarhijski viših organizacionih jedinica zasnovana na organizaciji, a hijerarhijski nižih zasnovana na lokaciji.
Slika 4. Strategije Organizacionih jedinica
Postoje tri tipa naloga:
Korisnički nalog je objekat u aktivnom direktorijumu koji omogućuje prijavljivanje na sistem. Jednim unosom korisničkog imena i lozinke pri inicijalnoj prijavi stiče se autentifikovani pristup postojećim resursima. Postoje tri tipa korisničkih naloga:
Lokalni korisnički nalog omogućuje korisniku da se prijavi na određeni računar i pristupa resursima na tom računaru.
Domenski korisnički nalog omogućuje korisniku da se prijavi na domen i pristupa resursima koji se nalaze u tom domenu. Ovaj nalog omogućava prijavljivanje na svaki pojedinačni računar koji je deo domena i pristupanje lokalnim resursima tog računara.
Ugrađeni korisnički nalozi su unapred predefinisani i omogućuju korisnicima obavljanje različitih administrativnih zadataka.
Grupni nalog se sastoji od korisnički naloga, računarskih naloga i drugih grupnih naloga. Ovi nalozi se koriste za efikasnije upravljanje pristupom mrežnim resursima.
Slika 5. Strategija za korisničke naloge
Svaki računar na kome je instaliran Windows NT, Windows 2000, Windows XP ili Windows 2003 Server, kada se pripoji domenu, dobija računarski nalog. Kao i korisnički nalog, i računarski nalog služi za autentifikaciju i praćenje pristupa tog računara mrežnim resursima. Svaki računarski nalog mora da bude jedinstven.
Kada se dizajnira strategija naloga potrebno je razmotriti koje usvojeno pravilo je najprikladnije za organizaciju i uz to olakšava pretragu naloga u aktivnom direktorijumu.
Ako korisnički nalog ima jedinstven niz prvih nekoliko karaktera efikasnije će se locirati. Ako postoje nalozi korisnika Aleksandar Petrović i Aleksandar Jovanović potrebno je otkucati 12 karaktera da bi se locirao svaki od njih ako je ime naloga sastavljeno iz imena i prezimena. Sa druge strane, ako je ime naloga spoj pocetnog slova imena sa celim prezimenom lociranje će biti efikasnije, ali će nastati problem ako se pojave novi korisnici Aleksandar Petrović i Arsenije Petrović.
Da bi se nalozi u aktivnom direktorijumu razlikovali među sobom po vrsti, potrebno je u ime naloga uvrstiti identifikator koji upućuje na tip naloga.
Najčešće se ime naloga računara bira po njegovoj funkciji kako bi u slučaju promene zaposlenog na toj poziciji bilo nepotrebno menjati računarski nalog. U slučaju da postoji više računara za istu funkciju onda se njihovim imenima naloga dodaje broj na kraju imena funkcije (npr. Marketing1, Marketing2 itd.).
U Srbiji je raširen i princip davanja imena računarskom nalogu po imenu korisnika koji ga najčešće koristi, s tim da ime računarskog naloga ne sme biti isto kao ime korisničkog naloga.
Uz to postoje i konvencije imena naloga koje uključuju internacionalne oznake za servere i radne stanice - SRV i WKS, a ponekad se imenu računarskog naloga dodaje deo koji se odnosi na njegovu lokaciju.
Uloga lozinki u sigurnosti organizacijske mreže je često potcenjena. Lozinka predstavlja prvu liniju odbrane protiv neautorizovanog pristupa.
Windows 2003 Server uključuje nove karakteristike za proveravanje složenosti lozinki administrativnih naloga. Ukoliko je lozinka prazno polje ili ne zadovoljava potrebnu složenost, generiše se poruka koja obaveštava o opasnosti ako se ne koristi tzv. strong password. Ako je lozinka prazno polje, nemoguće je pristupiti resursima preko mreže. Za kreiranje uspešnog dizajna polise lozinki potrebno je slediti sledeće smernice:
Kada se pravi struktura korisničkih grupa preporuka je da se koristi tzv. A-G-G-U-DL-P strategija.
Slika 6 Strategija sigurnosnih grupa
Prvi korak je da se korisnički nalog doda u globalnu grupu. Preporučljivo je da se kreiraju globalne grupe u svakom domenu za svaki sektor poslovanja. Dalje grupisanje se može vršiti ugnježđivanjem globalnih grupa u druge globalne grupe, koje se smeštaju u univerzalne grupe, jer se članstvo u univerzalnim grupama replicira svim globalnim katalozima prilikom svake izmene. Univerzalna grupa se dalje smešta u domensku lokalnu, koja se koristi za dodeljivanje nivoa pristupa resursima.