Назад | Перейти на главную страницу

Правильный способ управления привилегированными группами администраторов для двух доверенных лесов Active Directory?

Сценарий такой:

Есть два домена (DomA и DomB) с доверительными отношениями. Отношения охватывают весь лес, за исключением того, что DomA может получить доступ к ресурсам в DomB, но пользователи в DomB не должны иметь доступа к DomA.

В домене A есть группы по умолчанию: администраторы домена и администраторы предприятия. Администраторы домена должны быть администраторами только в DomA, а не в DomB. Администраторы предприятия будут администраторами в обоих доменах. Проблема с администраторами предприятия решается путем добавления группы администраторов предприятия DomA во встроенную группу администраторов в DomB, поэтому пользователи в этой группе могут без проблем управлять доменом B из домена A. Но здесь есть одна БОЛЬШАЯ дыра в безопасности:

Домен A Администраторы домена могут добавить себя в группу администраторов предприятия домена A и стать администраторами домена B.

Есть ли способ как-то защитить эти вещи?

Ваше решение - создать выделенные административные учетные записи в DomB для выбранных пользователей из DomA, чтобы использовать их для администрирования DomB.

Это предотвращает влияние компрометации в DomA на DomB и предотвращает получение доступа к DomB тем, кому требуется доступ администратора домена в DomA.


Теперь ваша очередь мог

  • Создайте новую группу безопасности «Администраторы DomB» или что-то в этом роде (без привилегированного доступа в DomA), которое можно использовать для делегирования необходимого доступа в DomB.
  • Вы можете защитить группу «Администраторы DomB» с помощью соответствующих изменений в ACL, чтобы предотвратить изменение членства в группе администраторами DomA \ Domain.

По общему признанию, этот второй вариант будет несколько бессмысленным, так как администраторы домена смогут изменить ACL в рассматриваемой группе. И если новая группа защищена от изменения администратора домена, администратор домена может стать владельцем группы и изменить ACL.

Теоретически это опасение должно быть относительно необоснованным, поскольку только пользователи, которые абсолютно требовать Доступ администратора домена должен быть у членов группы администраторов домена (подробнее об этом позже). Кроме того, модификации административных групп должны отслеживаться, анализироваться и проверяться.

Итак, в настоящее время ваша самая большая дыра в безопасности заключается в том, что у вас есть учетные записи в группе администраторов домена, которые могут не принадлежать (по вашему вопросу) к ней. Вторая самая большая дыра в безопасности будет заключаться в том, что компрометация одного леса автоматически ставит под угрозу второй лес.

Когда кто-то задается вопросом «как мне ограничить доступ администратора домена» или «как мне защитить ресурс от модификации со стороны администраторов домена», существует неправильная конфигурация. Потому что они не предназначены для ограничения.