Сценарий такой:
Есть два домена (DomA и DomB) с доверительными отношениями. Отношения охватывают весь лес, за исключением того, что DomA может получить доступ к ресурсам в DomB, но пользователи в DomB не должны иметь доступа к DomA.
В домене A есть группы по умолчанию: администраторы домена и администраторы предприятия. Администраторы домена должны быть администраторами только в DomA, а не в DomB. Администраторы предприятия будут администраторами в обоих доменах. Проблема с администраторами предприятия решается путем добавления группы администраторов предприятия DomA во встроенную группу администраторов в DomB, поэтому пользователи в этой группе могут без проблем управлять доменом B из домена A. Но здесь есть одна БОЛЬШАЯ дыра в безопасности:
Домен A Администраторы домена могут добавить себя в группу администраторов предприятия домена A и стать администраторами домена B.
Есть ли способ как-то защитить эти вещи?
Ваше решение - создать выделенные административные учетные записи в DomB для выбранных пользователей из DomA, чтобы использовать их для администрирования DomB.
Это предотвращает влияние компрометации в DomA на DomB и предотвращает получение доступа к DomB тем, кому требуется доступ администратора домена в DomA.
Теперь ваша очередь мог
По общему признанию, этот второй вариант будет несколько бессмысленным, так как администраторы домена смогут изменить ACL в рассматриваемой группе. И если новая группа защищена от изменения администратора домена, администратор домена может стать владельцем группы и изменить ACL.
Теоретически это опасение должно быть относительно необоснованным, поскольку только пользователи, которые абсолютно требовать Доступ администратора домена должен быть у членов группы администраторов домена (подробнее об этом позже). Кроме того, модификации административных групп должны отслеживаться, анализироваться и проверяться.
Итак, в настоящее время ваша самая большая дыра в безопасности заключается в том, что у вас есть учетные записи в группе администраторов домена, которые могут не принадлежать (по вашему вопросу) к ней. Вторая самая большая дыра в безопасности будет заключаться в том, что компрометация одного леса автоматически ставит под угрозу второй лес.
Когда кто-то задается вопросом «как мне ограничить доступ администратора домена» или «как мне защитить ресурс от модификации со стороны администраторов домена», существует неправильная конфигурация. Потому что они не предназначены для ограничения.