Я разработчик программного обеспечения, на которого была возложена ответственность предложить нашему клиенту решение, включающее инфраструктуру.
В основном наш проект состоит из двух программ для отдела аудита. Прямо сейчас они подключены к сети компании.
Они хотят, чтобы никто из сотрудников компании не мог перехватить, прочитать или сделать что-либо с информацией, которой они будут обмениваться и которыми будут манипулировать. Я понимаю, что после развертывания нашего программного обеспечения на одном из серверов компании теоретически один из администраторов сможет получить доступ к информации (базе данных, корневым дискам и т. Д.).
Учитывая, что я не специалист по инфраструктуре, решение, которое я придумал до сих пор, потребовало бы, чтобы они создали свой собственный центр обработки данных в другом домене, а затем установили соединение между двумя сетями, чтобы существующая все еще могла предоставлять доступ в Интернет для новый через прокси-сервер.
Однако это похоже на решение, требующее больших усилий.
Я просто хотел указать, что они также требуют, чтобы данные резервного копирования и репликации из их отдела хранились подальше от остальной компании. Итак, я думаю, им в любом случае нужно будет вложить деньги в пару серверов.
Но в то же время я также считаю, что эти серверы не обязательно должны быть контроллерами домена или они?
Можно ли находиться внутри одного домена и при этом хранить информацию от администраторов домена? Я бы предпочел не связываться с созданием и обслуживанием нового домена.
Есть ли лучший способ достичь своей цели? Там они используют Windows Server, если это имеет значение.
Один сервер или рабочая станция
Оставьте сервер / рабочую станцию как автономный сервер / рабочую станцию. Нет необходимости присоединяться к клиентскому домену или создавать отдельный домен.
Назначьте IP-адрес серверу / рабочей станции, выделенному из клиентской сети.
Попросите клиента создать учетную запись пользователя в клиентском домене с соответствующими правами и разрешениями для выполнения аудита.
Настройте свое программное обеспечение для использования этой учетной записи.
Готово.
Администраторы в клиентском домене не смогут войти на сервер / рабочую станцию аудита, потому что он не присоединен к клиентскому домену, и у них не будет действительного имени пользователя или пароля для сервера / рабочей станции аудита. Сервер / рабочая станция аудита сможет получить доступ к клиентскому домену через учетную запись пользователя, созданную в клиентском домене для выполнения аудита.
Теперь, можете ли вы настроить свое программное обеспечение для использования учетной записи пользователя в клиентском домене - это вопрос, на который можете ответить только вы.