Time-Based Group: un’ utilissima funzionalità Active Directory quasi sconosciuta

Ott 03, 2023 Approfondimenti, In evidenza, Security bITs, Software

I Time-Based Group sono una caratteristica potente e spesso trascurata all’interno di Active Directory (AD).

Una delle sfide affrontate dagli amministratori di sistema è quella di gestire efficacemente l’assegnazione dei diritti di accesso agli utenti, garantendo allo stesso tempo un controllo adeguato su chi può accedere a quali risorse. Qui entrano in gioco i Time-Based Group.
Questa funzionalità consente agli amministratori di gestire in modo più dinamico l’assegnazione dei diritti di accesso agli utenti e di automatizzare processi di provisioning e deprovisioning. Questo articolo esplorerà in dettaglio cosa sono i Time-Based Group, come funzionano e come possono essere utilizzati per migliorare la gestione degli accessi in un ambiente AD.

Ma nel dettaglio: cosa sono i Time-Based Group?

I Time-Based Group sono gruppi di sicurezza all’interno di Active Directory i cui membri vengono aggiunti o rimossi automaticamente in base a criteri temporali predefiniti.
Questi gruppi consentono agli amministratori di assegnare diritti di accesso temporanei agli utenti, eliminando la necessità di un intervento manuale per aggiungere o rimuovere gli utenti da un gruppo in determinati momenti.

Il funzionamento dei Time-Based Group si basa su regole temporali definite. Gli amministratori possono stabilire quando un utente deve essere aggiunto o rimosso da un gruppo specifico.

Ad esempio, è possibile creare un gruppo temporaneo che fornisca l’accesso a una risorsa particolare solo durante le ore lavorative o solo nei giorni feriali. Una volta che le regole temporali vengono configurate, Active Directory automatizzerà il processo di aggiunta e rimozione degli utenti dal gruppo in base ai parametri specificati.

Ma quali sono quindi i benefici nell’utilizzo di queste funzionalità?

Automazione: L’automazione dell’aggiunta e della rimozione degli utenti da un gruppo in base a criteri temporali riduce la necessità di interventi manuali, semplificando la gestione degli accessi.

Controllo granulare: Gli amministratori possono definire regole precise per garantire che gli utenti abbiano accesso solo quando necessario, riducendo il rischio di accessi non autorizzati.

Provisioning e deprovisioning efficienti: I Time-Based Group sono utili per l’automazione dei processi di provisioning (assegnazione di accesso) e deprovisioning (revoca di accesso) al personale temporaneo o ai consulenti esterni (una vera sfida di gestione per gli IT Manager di tutte le aziende)

Riduzione degli errori: La gestione manuale degli accessi può portare a errori umani. L’utilizzo dei Time-Based Group riduce tale rischio attraverso l’automazione.

Ma quado potreste utilizzare queste funzionalità? Vediamo qualche caso d’uso

Collaborazione temporanea: Gruppi temporanei possono essere creati per consentire la collaborazione su progetti specifici per un periodo limitato.

Formazione e workshop: Gli utenti possono ottenere accesso temporaneo a risorse formative o ambienti di laboratorio solo durante le sessioni formative.

Appaltatori e consulenti: L’accesso di appaltatori e consulenti può essere limitato ai giorni in cui sono effettivamente impegnati nel progetto.

Procedure di creazione dei time-based group

Note iniziali: esistono molte procedure per attivare e sfruttare tale funzionalità.
Potreste ottenere il risultato desiderato con powershell o ancora attraverso la console ADAC (Active directory administrative center). La procedura sotto riportata è una delle tante a vostra disposizione

Per creare un Time-Based Group in Active Directory, seguire i passaggi di seguito:

1. Aprire Active Directory Users and Computers: Aprire la console di Active Directory Users and Computers sulla macchina di amministrazione.
2. Selezionare il dominio appropriato: Navigare all’interno dell’albero della directory fino al dominio in cui si desidera creare il Time-Based Group.
3. Fare clic con il pulsante destro del mouse e selezionare “New” (Nuovo): Fare clic con il pulsante destro del mouse sul contenitore appropriato all’interno del dominio e selezionare “New” (Nuovo), quindi “Group” (Gruppo).
4. Inserire il nome del gruppo: Assegnare un nome al Time-Based Group, ad esempio “TempAccessGroup”.
5. Impostare le regole temporali: A seconda della versione di Windows Server utilizzata, la creazione di regole temporali può variare. In generale, è possibile utilizzare il comando “dsmod” o “dsadd” dalla riga di comando per aggiungere le regole temporali al gruppo. Ad esempio, il seguente comando imposta un Time-Based Group che aggiunge gli utenti durante le ore lavorative:

dsmod group “CN=TempAccessGroup,OU=Gruppi,DC=dominio,DC=com” -addmbr “CN=Utente1,OU=Utenti,DC=dominio,DC=com” -memberof “CN=Group1,OU=Gruppi,DC=dominio,DC=com” -ttl 3600

Nell’esempio sopra, “-ttl 3600” indica che l’utente sarà membro del gruppo per 3600 secondi (1 ora).

6. Verificare e testare: Verificare che il Time-Based Group sia stato creato correttamente e che le regole temporali siano state impostate come desiderato. È consigliabile testare il funzionamento del gruppo con utenti di prova prima di implementarlo su larga scala.

Esempio di utilizzo di un Time-Based Group:

Supponiamo che un’azienda voglia concedere l’accesso temporaneo a una cartella con documenti riservati solo durante le ore lavorative. Ecco come utilizzare il Time-Based Group per questo scenario:

• Creazione del Time-Based Group: Seguire i passaggi descritti sopra per creare un Time-Based Group chiamato “AccessoDocumenti” e impostare le regole temporali per consentire l’accesso solo durante le ore lavorative (ad esempio, dalle 9:00 alle 18:00).
• Aggiunta degli utenti: Aggiungere gli utenti autorizzati al gruppo “AccessoDocumenti”. L’accesso a questa cartella riservata sarà consentito solo durante le ore lavorative in base alle regole temporali del gruppo.
• Verifica e monitoraggio: Controllare regolarmente che gli utenti vengano aggiunti e rimossi dal gruppo in base alle regole temporali. Verificare anche che l’accesso alla cartella con documenti riservati sia consentito solo durante le ore lavorative.

Nota: La sintassi e i comandi specifici possono variare a seconda della versione di Windows Server e delle impostazioni della directory. Si consiglia di consultare la documentazione ufficiale di Microsoft o guide specifiche per la tua versione di Active Directory per ulteriori dettagli e istruzioni precise.

I Time-Based Group rappresentano un’aggiunta preziosa alle funzionalità di gestione degli accessi di Active Directory. Consentono un controllo più dinamico e automatizzato sull’assegnazione degli accessi agli utenti, contribuendo a migliorare la sicurezza e l’efficienza nella gestione delle risorse.

Autore: Francesco Guiducci

Linkedin: https://www.linkedin.com/in/francesco-guiducci-47178071/

• Active Directory, time based group