Часто приходится работать с реорганизацией и наведением порядка с структуре каталогов Active Directory у заказчиков. Для упрощения жизни предлагаю сформированный чек-лист по областям просмотра/интервью при аудите в ходе наведения порядка.

Те, кто понимают что аудит Active Directory это не только

• посмотреть структуру леса,
• связность контроллеров
• и функциональный уровень схемы,

а ещё понять

• бизнес-структуру отображения объектов,
• процессы предоставление и контроля доступа, актуализации учетных данных,
• сложившуюся модель распределения прав
• и ролевую модель итд, итп....,

с легкостью применят приведенный чек-лист для упрощения себе жизни на входе в аудит AD. Как в хорошем вопросе, часть ответа как хорошо уже содержится в самих пунктах :-)

Две группы вопросов

Следует разбить вопросы на две группы, чтобы понять как сейчас устроен каталог объектов AD:

1. Схема AD,  её использование в инфраструктуре, как используется в приложениях и приложениями
2. Организация. Разделения привелигированного административного доступа к системам и сервисам с которыми предстоит работать и ролевая модель.

Чеклист

1. Схема AD - функциональный уровень. Связность контроллеров и сайтов.
2. Процесс заведения нового пользователя. 
   1. Какие аттрибуты используются при заведении?
   2. Есть ли переконфигурация схемы с созданием собственных атрибутов?
   3. Используются ли нестандартные атрибуты?
3. В какие OU распределяются пользователи и по каким признакам?
4. Как и кем определяется членство пользователя в группах?
5. Как определяются членства и права пользователей в приложениях?
6. В каких приложениях используются членства, аттрибуты, OU из AD, а в каких собственная ролевая модель прав с собственной системой безопасности?
7. Через что (группы, OU) определяется доступ пользователей к системам, сервисам и приложениям? 
8. Соблюдается ли правила иерархии типов групп в AD (Domain local, domain global)? Работает ли групповая модель между соседними доменами?
9. На какую бизнес-единицу/техническую-единицу разбивает OU и как/где используется?
10. Есть ли практика предоставления прав НЕ администраторам за контролем, актуализацией групп или OU? Для каких систем?
11. Кто и как отзывает права у пользователей тех или иных информационных систем?
12. Зоны ответственности в AD. Следят и вмешиваются ли владельцы систем (со стороны бизнеса) в учетные записиили все через администраторов AD.
13. Безопасность
    1. Всегда ли пользователя создают по процессу со стороны бизнеса? Какие случаи создания пользователя напрямую, администратором?  Ведется ли учет/журнал создания таких пользователей?
    2. Системные учетные данные есть ли в структуре от которых запущены сервисы, процессы в AD на системах? Или на системах сервисы работают от локальных УЗ?
    3. Есть ли разграничение прав у привилигированных пользователей (админов) по разным системам? Или все «администраторы» входят в Domain Admins или Administrators на уровне домена?
    4. Включаются ли пользователи непосредственно в привелигированную группу без групп в группы с привелегиями верхнего уровня?
    5. Как ведется контроль пользователей с административными правами? Как разграничивается он на уровне систем?
    6. Разделены ли привелигированные пользователи и учетные записи на группы по информационные сервисам?
14. От каких УЗ запускаются процессы приложений?
15. Какие группы пользователей с привелигированными правами(обслуживающий персонал: администраторы, backup operator, системная уз по резервному копированию) имеют доступ/должны иметь доступ?
16. Как на уровне приложений возможно используется AD аттрибуты и группы? Если возможно, по какой причине не используется?

Покрытие рисков

Данный чек лист покрывает не только ИТ-структуру AD, но и следующие риски

1. Отсутствие изоляции информационной системы и сервиса на уровне системного ПО
2. Отсутствие структуры порядка и процесса безопасности в разграничении прав
3. Беспорядок в отражении прав, использовании приложений в каталоге. 

Обращайтесь за аудитом, миграцией и консультацией к нам, у нас большой опыт и экспертиза по наведению порядка в и с  Active Directory и ИТ-инфраструктуры у наших заказчиков. В том числе оценка миграции не на решения Microsoft.