У меня есть проект по защите моей инфраструктуры Active Directory.
Для этого один из моих коллег рассказал мне о возможности создать еще один домен AD в лесу только для администрирования. То есть этот новый домен будет содержать всю группу администраторов для управления другим доменом, который содержит стандартную учетную запись.
Я действительно не понимаю это решение, и я хотел бы получить некоторую информацию об этом, но я не нашел ничего в Интернете ...
У кого-нибудь есть информация об этом?
заранее спасибо
На самом деле было бы более безопасно иметь отдельный лес-бастион для административных учетных записей и групп. Вы можете прочитать больше об этом здесь:
Управление привилегированными удостоверениями для доменных служб Active Directory (AD DS) https://technet.microsoft.com/en-us/library/mt150258.aspx
Допустим, у вас есть производственный лес с контроллерами домена в 100 местоположениях. А в вашем бастионном лесу есть только контроллеры домена в вашем основном центре обработки данных. В случае вторжения в производственный лес, контроллеры административного домена и учетная запись database / krbtgt подвергаются меньшему риску. Бастионный лес также обычно имеет более строгие параметры безопасности, и у вас может быть одностороннее доверие леса (производственный лес доверяет бастионному лесу, но не наоборот). Новые функции PIM для ограниченного по времени членства в группах / доступа также являются улучшением безопасности.
Ваш коллега имеет в виду то, что очень давно считалось приемлемой практикой.. Это уже не так (и я бы сказал, что это имело сомнительную ценность даже 15 лет назад). Поскольку лес (а не домен) - это то место, где находится ваша граница безопасности, вы получаете очень ограниченную дополнительную безопасность из этой настройки (если есть), для которой вы усложняете и должны иметь дело с дочерними доменами, которые Microsoft больше не рекомендует использовать за исключением очень ограниченного числа случаев (круизные лайнеры являются оставшимся примером организации, в которой дочерние домены имеют смысл).
Ваш коллега неправ, и вам не следует этого делать. Вместо этого вы должны сделать это правильно и подумать о том, чтобы ударить его по голове за предложение реализации, которая могла иметь небольшую ценность 15 лет назад, с исходной версией Active Directory. Что касается того, как сделать это правильно и правильно укрепить Active Directory, вы не предоставили достаточно информации, чтобы давать какие-либо обоснованные рекомендации, за исключением того, что вы сказали, что предложение вашего коллеги не является хорошей идеей. (Лично я бы проигнорировал любые дальнейшие предложения от кого-то, кто предлагал пустой корень леса. Люди, которые знают, о чем они говорят в отношении Active Directory, в первую очередь не предложили бы такую вещь.)
Я думаю, ваш коллега говорит о модели леса, в которой используется пустой корневой домен и один или несколько дочерних доменов. В корневом домене будут храниться только группа администраторов предприятия, группа администраторов схемы, а также роль хозяина схемы FSMO и роль хозяина именования доменов. После этого группа администраторов предприятия будет иметь полный контроль над дочерним доменом. идея заключалась в том, чтобы защитить эту могущественную группу от других администраторов и потенциального взлома. ваш дочерний домен по-прежнему будет иметь стандартные группы администраторов домена, а также встроенные группы операторов. Все стандартные учетные записи пользователей создаются в дочернем домене.
они все еще могут быть некоторыми вариантами использования для этой модели, но в целом вы должны стараться, чтобы ваша структура AD была как можно более простой, а модель одной предметной области настолько проста, насколько это возможно.
Интересно, что Windows Server 2016 добавляет дополнительную защиту для групп администраторов.
Надеюсь это поможет