Безопасное администрирование домена AD
У меня есть проект по защите моей инфраструктуры Active Directory.
Для этого один из моих коллег рассказал мне о возможности создать еще один домен AD в лесу только для администрирования. То есть этот новый домен будет содержать всю группу администраторов для управления другим доменом, который содержит стандартную учетную запись.
Я действительно не понимаю это решение, и я хотел бы получить некоторую информацию об этом, но я не нашел ничего на Интернет ..
Кто-нибудь знает об этом?
Заранее спасибо
На самом деле было бы более безопасно иметь отдельный лес-бастион для административных учетных записей и групп. Вы можете узнать больше об этом здесь:
Privileged Identity Management для доменных служб Active Directory (AD DS) https://technet.microsoft.com/en-us/library/mt150258.aspx
Допустим, у вас есть производственный лес с контроллерами домена в 100 местах. А в вашем бастионном лесу есть только контроллеры домена в вашем основном центре обработки данных. Если есть вторжение в производственный лес, административные контроллеры домена и учетная запись database / krbtgt подвергаются меньшему риску. Бастионный лес также обычно имеет более строгие параметры безопасности, и у вас может быть одностороннее доверие леса (производственный лес доверяет бастионному лесу, но не наоборот). Новые функции PIM для ограниченного по времени членства в группах / доступа также являются улучшением безопасности.
То, что имеет в виду ваш коллега, очень давно считалось приемлемой практикой . Это уже не так (и я бы сказал, что это имело сомнительную ценность даже 15 лет назад). Поскольку лес (а не домен) - это то место, где проходит ваша граница безопасности, вы получаете очень ограниченную дополнительную безопасность из этой настройки (если есть), для которой вы усложняете и должны иметь дело с дочерними доменами, которые Microsoft больше не рекомендует использовать, за исключением очень ограниченного числа случаев (круизные лайнеры являются оставшимся примером организации, в которой дочерние домены имеют смысл).
Ваш коллега ошибается, и вам не следует этого делать. Вместо этого вы должны сделать это правильно и подумать о том, чтобы ударить его по голове за предложение реализации, которая могла иметь небольшую ценность 15 лет назад, с исходной версией Active Directory. Что касается того, как сделать это правильно и правильно укрепить Active Directory, вы не предоставили достаточно информации, чтобы давать какие-либо обоснованные рекомендации, за исключением того, что вы сказали, что предложение вашего коллеги не является хорошей идеей. (Лично я бы проигнорировал любые дальнейшие предложения от кого-то, кто предлагал пустой корень леса. Люди, которые знают, о чем они говорят относительно Active Directory, в первую очередь не предложили бы такую вещь.)
Мне кажется, ваш коллега говорит о модели леса, которая использует пустой корневой домен и один или несколько дочерних доменов. Корневой домен будет хранить только группу корпоративных администраторов (Enterprise Admins Group), группу администраторов схемы (Schema Admins), а также роль мастера схемы (Schema Master FSMO) и главную роль мастера именования домена (Domain Naming master role). Затем группа корпоративных администраторов будет иметь полный контроль над дочерним доменом. Идея заключалась в том, чтобы защитить эту мощную группу от других администраторов и потенциальных компромиссов. Ваш дочерний домен все еще будет иметь стандартные группы администраторов домена (Domain Admins), а также встроенные группы операторов (Operator). Все стандартные пользовательские учетные записи создаются в дочернем домене.
их все еще можно использовать для этой модели, но в общем случае вы должны попытаться сделать вашу AD структуру как можно более простой, а единственная доменная модель настолько проста, насколько это возможно.
Интересно, что в Windows Server 2016 добавлена дополнительная защита для групп администраторов.
Надеюсь, это поможет
.