Nils Byström, Avd f IT och inköp. Projekt AD-design Uppsala universitet DiarieNr: UFV 2009/413. Revision 1.0 Filnamn AD skyddade personuppgifter.



Relevanta dokument
Active Directory. Namnstandard. Bilaga 1. Benämning. Ansvarig :22. Skapat. Utredning AD namnstandards

Innehållsförteckning ADSync Windows Azure Active Directory ADSynC- Installation Konfigurera ADSync... 4

Del 1: Skapa konto i Exchange

Innehållsförteckning Introduktion Installation, konfiguration & Matchning Installation på primära domänkontrollanten...

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Inställningar för Exchange 2007-plattform Office 2007 AutoDiscover (RPC over HTTPS) Område: Finland / Operativsystem: Windows Vista

Användarhantering Windows 7 I denna laboration kommer vi att skapa nya användare och grupper och titta på hur man hantera dessa.

1 Översikt Vad är kontokoder? Konto/Mapp uppbyggnad Tillgång till Kontokoder Område Kontokoder...5

1DV416 Windowsadministration I, 7.5hp MODULE 4 GROUP POLICY, STORAGE AND ACCESS CONTROLS GROUP POLICY

Konton skapas normalt av användaren själv, men kan i undantagsfall behöva läggas upp av annan person, exempelvis en junioradmin.

Innehållsförteckning:

23 Användargrupper: lokala, globala och specialgrupper

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

7 Microsofts grupphanteringsmodell i Windows NT-domäner

Felsökning av vanliga fel Kontrollera installera version Innehållsförteckning

ARX på Windows Vista, Windows 7 eller Windows 2008 server

Sync Master startas via Task Scedule (schemaläggaren). Programmet kan köras på servern utan att någon är inloggad på servern.

DIG IN TO. Nätverksadministration

LEX INSTRUKTION LEX LDAP

Evo SCADA Installationsanvisning

Installation och konfiguration av Matematikhuset 3.0 (skollicens) Installation via Group Policy och konfigurering av dataplacering

Active Directory Self-Service Bundle

Instruktionsbok för Fjärrskrivbord

Alternativet är iwindows registret som ni hittar under regedit och Windows XP 32 bit.

Inloggning till Winst och installation av Java för användare med Mac

LB-M-EX Innehåll

Uppstart Agda PS Hosting

SITHS inloggning i AD

Windowsadministration I

Författare Version Datum. Visi System AB

Instruktioner för att skapa konton i MV-login

Statistiska centralbyrån

Uppdateringsguide v6.1

ANVÄNDARINSTRUKTIONER FÖRHANDLARPORTALEN För anställda hos Hyresgästföreningen. Version 2.0 ( )

Administrationsmanual ImageBank 2

Lathund Automatisk inloggning

Användardokumentation för CuMaP-PC. Fleranvändarsystem och behörigheter

DELA DIN MAC MED FLERA ANVÄNDARE

Boss installationsmanual förberedelser

Manual - Storegate Team med synk

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver 9.2w

2013 Alla rättigheter till materialet reserverade Easec

Nätverksoperativsystem i Datornätverk (Windows Server) DVA202, VT Tentamen

Ladda upp filer fra n PLC till PC

Instruktioner för Axxell's Trådlösa Nät

INNEHÅLLS FÖRTECKNING

Instuderingsfrågor - Svar.

Manual - Storegate Team

HSA Arkivering av stängda vårdgivare och vårdenheter. Scenariobeskrivning, version 2.0,

Innehåll 1 Inledning Serverinstallation 2.1 Systemkrav 2.2 SQL Server 2.3 Behörighet vid installation 2.4 Behörighetskontroll i Microsoft SQL Server

TST8102 WEBCM BRUKSANVISNING

Innehåll. Installationsguide

Manual Söka ledig tjänst Landstinget i Östergötland. Senast reviderad

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver

Installation, Novaschem 2005

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Sync Master startas via Task Scedule (schemaläggaren). Programmet kan köras på servern utan att någon är inloggad på servern.

Kalendersynkronisering. med Exchange. Vitec Express juli 2014 INSTRUKTIONSMANUAL FRÅN VITEC

IT-system. BUP Användarmanual

Användarmanual FormPipe Meetings. FormPipe Meetings

Installationsmanual ImageBank 2

Statistiska centralbyrån

INSTALLATIONSINSTRUKTIONER FÖR VIDA INNEHÅLL


TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

OBS! Figuren visar inte alla aspekter och objekt som är inblandade i säkerhetssystemet.

1DV416 Windowsadministration I, 7.5hp MODULE 3 ACTIVE DIRECTORY

LATHUND FÖR KLUBBSNACK.SE (NSK:s administrativa verktyg)

WebViewer Manual för administratör Nova Software AB

ThinRdpInstallation. Denna dokumentation avser RdpInstallation av ThinRdpServer för att FjärrStyra via WebLäsaren avsett WebOrderProgram!

Lathund Distansarbete. Lathund. Distansarbete via cap.lio.se i Google Chrome (Windows 8.1)

Windowsadministration II, 7.5hp, 1DV424 MODUL 6 EXCHANGE SERVER 2013 FÖRELÄSNING 2

E-läromedel Manual Version 3

SMC Barricade Routers

SAFE WORK. Instruktioner till Företagets egen sida - för dig som är chef/kontaktperson på ett entreprenadföretag

OBS! Det är av största vikt att innan konfiguration av modulen, genomfört de inställningar som presenteras med bilagorna till denna manual.

Innehåll. 7. Hur vet jag vilken storlek på licensen jag har?... 19

Telia Centrex IP Administratörswebb Handbok

Installationsguide Junos Pulse för iphone/ipad

USER GUIDE. OnRoad Online

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Uppstart. Agda Drift

Manual - Storegate Team

Decentraliserad administration av gästkonton vid Karlstads universitet

Konfigurering av eduroam

Hur man skapar en Administrativ Image för SolidWorks 2014

Webbokning Windows 7,8.1 &10 Installationsmanual

Hej! Dags att tala om hur du bäst får till en automatiserad inloggning då du använder SharePoint Online, eller andra Microsoft-tjänster.

Installationsanvisningar VISI Klient

MONA-handledning. 1. Inloggning. Version 2 1(5) Användarhandledning - UTKAST MONA-support. 1. Inloggning 2. Användning 3.

Användarmanual Detta dokument beskriver användningen av xvis, för besökare såväl som receptionister och anställda.

Fr om version ser inloggningen med HogiaID lite annorlunda ut i Hogias Ekonomisystem

Flexi Exchange Connector. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Telia Centrex IP Administratörswebb. Handbok

Konfigurering av inloggning via Active Directory

PRINTER DRIVER ADMINISTRATOR GUIDE

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet

INFORMATION FRÅN VITEC. Exchangekoppling

Transkript:

Bilaga 2 Benämning Utredning Ansvarig Nils Byström, Avd f IT och inköp Skapat 2008-11-01 10:56 Skyddade personuppgifter Pelle Lindé, IT-strategiska avd Senast sparat 2009-03-26 08:37 Projekt AD-design Uppsala universitet DiarieNr: UFV 2009/413 Revision 1.0 Filnamn AD skyddade personuppgifter.doc Active Directory Skyddade personuppgifter

Innehållsförteckning 1.1. Bakgrund 3 1.2. Metoder 3 1.3. Skyddat OU 3 1.4. Skyddade användarkonton 4 1.5. Slutsats 5 1.6. Fördelar med skyddat OU 6 1.7. Nackdelar med skyddat OU 6 1.8. Fördelar med skyddade användarkonton 6 1.9. Nackdelar med skyddade användarkonton 6 1.10. Rekommendation 6

1.1. BAKGRUND Uppsala universitets nya Active Directory ska laddas med användaruppgifter ifrån den centrala katalogtjänsten AKKA. Uppgifter som Active Directory användarobjekt ska skapas med är t ex. användarnamn, lösenord, för-, mellan- och efternamn. För att vissa tjänster ska kunna fungera korrekt läses även andra uppgifter in som t.ex. e-postadressen. Fler fält kommer förmodligen att användas längre fram, men dessa kommer att utredas vid behov. Eftersom alla användarobjekten är läsbara för autentiserade användare som standard så måste de användare som har skyddade personuppgifter kunna få sin identitet dold i AD, men systemen måste fortfarande kunna autentisera dem så att de kan komma åt de resurser som de ska ha tillgång till, samt i de fall som t.ex. Exchange, eller sharepoint behöver tillgång till e-postadressen så måste även det fungera. I AKKA har de användare som har skyddade personuppgifter en flagga som markerar detta, och den kan nyttjas när objekten läses in i AD, dock finns det inget idag självklart sätt att skydda dessa personers identitet i AD, utan Uppsala universitet får ta fram sitt egna sätt att skydda dessa användare. Kravet är att en normal användare som loggar in mot AD inte ska kunna se de användare som har skyddade personuppgifter, men alla system som har behovet av att kunna nyttja skyddade konton ska kunna det. Det ska även finnas en eller flera speciella grupper av användare som ska kunna se de skyddade personernas konton och modifiera dessa, och placera dem i olika grupper. Dessutom ska inte de konton som är skyddade markeras ( hängas ut ) på något sätt i systemet. 1.2. METODER Det finns i huvudsak två sätt att skydda dessa personer som har skyddad identitet. Antingen kan man välja att sätta upp ett separat OU för de användare som har skyddade personuppgifter, och vid inläsningen från AKKA till ADt låta de skyddade användarna automatiskt hamna i det OUt. De användare som inte har skyddade personuppgifter låter man hamna i vanliga användar-oun. Alternativt läser man in alla användarkonton från AKKA till vanliga användar-oun, och de användare som har skyddade identitet sätter man andra rättigheter på som gör att användare med normala behörigheter/rättigheter inte har tillgång att se dessa konton. 1.3. SKYDDAT OU För att skapa ett skyddat OU gör man på följande sätt: Starta Active Directory Users and Computers. Markera Advanced Features under View-menyn. Skapa ett OU Tänk på att själva OU-namnet kommer vara synligt för alla användare. OUt kommer inte vara synligt som ett OU för de användare som inte har rättigheter att se de användare som har skyddade personuppgifter, utan kommer att se ut som ett CO som de inte har rättigheter att läsa. Gå in på egenskaper för objektet, klicka på säkerhetsfliken och sedan avancerat. Avmarkera Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicit defined here. för det OUt. Välj copy permissions när det efterfrågas. Kontrollera att Administrators, Domain Admin's, Enterprise Admin's, Enterpride Domain Controllers och System fortfarande har kvar sina rättigheter. Om dessa konton inte har kvar sina rättigheter på OUt kommer inte systemet kunna autentisera användaren. 3

Ta bort accessen för Domain users, Authenticated users, och Everyone. Genom att ta bort dessa kan vi reglera exakt vilka användare som ska ha access på objektet. Ta bort eller behåll övriga defaultanvändares rättigheter efter tycke och smak (Account operators, Print operators, Pre-Windows 2000 Compatbile Access). Rekommenderat är att ta bort dessa användare också och sedan lägga till rättigheter för de användare som behöver access på objektet. Om en tjänst installeras på en server som behöver ha access till de användare som har skyddade personuppgifter så måste de användarkontot som tjänsten körs under få läsrättigheter på OUt. Om tjänsten installeras om local system så måste datorobjektet få läsrättigheter på OUt. Observera dock att alla tjänster som körs som local system på den datorn kommer att få tillgång til de skyddade personuppgifterna. Ett sätt att hantera detta på är att skapa en grupp i det skyddade OUt som har läsrättigheter på det skyddade OUt och i den gruppen placera de användare och datorer som behöver läsrättigheter på det skyddade OUt, På det viset så kan ingen se vilken grupp det är som har de skyddade. 1.4. SKYDDADE ANVÄNDARKONTON Starta Active Directory Users and Computers. Markera Advanced Features under View-menyn. Skapa en användare Tänk på att "Display Name" kommer vara synligt för alla användare Användarobjektet kommer inte vara synligt som ett användarobjekt för de användare som inte har rättigheter att se de användare som har skyddade personuppgifter, utan kommer att se ut som ett CO som de inte har rättigheter att läsa. Gå in på egenskaper för objektet, klicka på säkerhetsfliken och sedan avancerat. Avmarkera Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicit defined here. för det användarobjektet. Välj copy permissions när det efterfrågas. Kontrollera att Administrators, Domain Admin's, Enterprise Admin's, Enterprise Domain Controllers och System fortfarande har kvar sina rättigheter. Om dessa konton inte har kvar sina rättigheter på användarkontot kommer inte systemet kunna autentisera användaren. Ta bort accessen för Domain users, Authenticated users, och Everyone. Genom att ta bort dessa kan vi reglera exakt vilka användare som ska ha access på objektet. Ta bort eller behåll övriga defaultanvändares rättigheter efter tycke och smak (Account operators, Print operators, Pre-Windows 2000 Compatbile Access). Rekommenderat är att ta bort dessa användare också och sedan lägga till rättigheter för de användare som behöver access på objektet. Om en tjänst installeras på en server som behöver ha access till de användare som har skyddade personuppgifter så måste de användarkontot som tjänsten körs under få läsrättigheter på användarobjektet. Om tjänsten installeras som local system så måste datorobjektet få läsrättigheter på användarobjektet. Observera dock att alla tjänster som körs som local system på den datorn kommer att få tillgång till de skyddade personuppgifterna. Ett sätt att hantera detta på är att skapa en grupp som har samma rättigheter som 4

användarkontona och som har läsrättigheter på det skyddade användarkontona och i den gruppen placera de användare och datorer som behöver läsrättigheter på det skyddade användarkonto, På det viset så kan ingen se vilken grupp det är som har de skyddade, samt att man behöver bara lägga till de nya kontona som ska ha läsrättigheter i den gruppen, istället för att uppdatera alla konton. 1.5. SLUTSATS De båda metoderna som beskrivs har båda för och nackdelar. Tyvärr verkar det inte finnas i dagens läge något riktigt bra sätt att hantera skyddade personuppgifter i Active Directory så vi har fått att anpassa oss till de metoder som finns beskrivna ovan. Om man skyddar ett objekt med metoden ovan så kommer de att få Typen Okänd, och ikonen kommer att indikera att objektet inte är läsbart för användaren. Om en ny tjänst sätts upp som behöver komma åt användarobjekten ifrån Active Directory krävs det att rättigheterna på dessa attribut uppdateras med korrekta rättigheter för att den nya tjänstens ska kunna hämta uppgifterna. Om den nya tjänsten sätts upp som local system på en server så måste det datorkontot få access till de kontona med skyddade personuppgifter. 5

1.6. FÖRDELAR MED SKYDDAT OU Fördelen med att placera alla användare som har skyddade personuppgifter i ett OU är att om en ny tjänst installeras som behöver rättigheter på dessa objekt, räcker det med att uppdatera rättigheterna på OUt. Det blir ett objekt i AD-strukturen som blir skyddat, så det går inte att säga hur många användare som är skyddade för användare som inte har rättigheter på det OUt. 1.7. NACKDELAR MED SKYDDAT OU Alla användare som har skyddade personuppgifter grupperas i ett OU, vilket medför att om man har rättigheter att läsa det OUt kan man snabbt och enkelt filtrerar ut vilka användare som har skyddade personuppgifter. Om en person som först läggs in i ADet som inte har skyddade uppgifter och sedan får skyddade personuppgifter, kommer då att flytas från huvud Out till det skyddade OUt. Detta kan medföra problem för system som slår mot AD ldap och har en specifik sökväg till objektet. 1.8. FÖRDELAR MED SKYDDADE ANVÄNDARKONTON Det går att placera användarkontot vart som helst i OU-strukturen, och det är i alla fall skyddat. De skyddade kontona är inte grupperade, vilket gör att de inte hängs ut i ett specifikt OU. Om en person som först inte har haft skyddade personuppgifter sedan får det, kommer inte att flytas från sitt befintliga OU utan kommer ligga kvar på samma plats, vilket gör att system som använder sig av AD ldap inte behöver uppdateras i de fallen. 1.9. NACKDELAR MED SKYDDADE ANVÄNDARKONTON Konton med skyddade personuppgifter hängs ut genom att dessa har andra rättigheter. Användaren som söker fram dessa konton kan inte gå in och titta på detaljer på användarkontot, men eftersom de inte har rättigheter att gör det så får de en deny på de objekt som är skyddade. Display name är alltid synligt. Dock går det att sätta ett annat displayname på objektet. 1.10. REKOMMENDATION Då det största skyddet erhålls genom att spränga in de användare som har skyddade personuppgifter i AD-strukturen så borde det vara den bästa metoden att använda sig av. Om man är en administratör som har läsrättigheter på AD-objekten som är skyddade så ser det ut för den admin-användaren som vilket AD-konto som helst, detta medför att de konton som har skyddade personuppgifter måste få en notering om att dessa konton är skyddade så att inte uppgifter lämnas ut av misstag. 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss