Простой вопрос:
Имеет ли смысл создавать в Active Directory выделенное подразделение для системных администраторов (включая администраторов контроллеров домена)? Есть ли недостатки у такого подхода? Есть ли в этом хорошая практика?
Как отмечалось в других ответах, это может быть полезно для связывания GPO, хотя я бы никогда сделайте это изменение конфигурации исключительно для этой цели.
Также отмечено, что Active Directory имеет "средство защиты (adminSDHolder и sdProp) для предотвращения компрометации привилегированных учетных записей действиями делегирования управления", но эта мера защиты касается только учетных записей пользователей, которые являются членами (прямо или косвенно) защищенных групп (администраторы домена, операторы сервера, операторы учетных записей, операторы резервного копирования и т. д., полный список здесь: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory). Я предполагаю, что процесс sdProp, хотя и полезен, является всего лишь одним уровнем защиты для безопасности Active Directory и что его недостаточно, чтобы на него можно было положиться как на единственный уровень защиты конфиденциальных участников безопасности.
Хотя это отличная функция Active Directory, проблема в том, что если следовать (временами туманным) передовым методам, эти группы будут в основном пустыми. Кроме того, если придерживаться лучших практик, обязательно следует создать несколько настраиваемых групп, которые должны быть созданы и использоваться для обеспечения различного доступа в среде - группы с административным доступом к рабочим станциям, группы с административным доступом к серверам, группы с административным доступом к Exchange, группы с доступом администратора к среде виртуализации, группам с доступом администратора к совместно используемым файловым системам, группам с доступом администратора к другим приложениям и другим приложениям, службам и устройствам, интегрированным с LDAP; группы, которым делегирован доступ к самой Active Directory.
К некоторым из этих групп следует относиться с таким же уважением, как к «Администраторам домена» или к любым другим группам, описанным в ссылке - и sdProp / adminSDHolder делает не поддерживают включение дополнительных групп - только исключение (на моей последней проверке) 4 из предопределенных групп.
Чтобы правильно и легко добиться делегирования управления этими группами, эти группы должны храниться в отдельном подразделении, доступ к которому может быть либо делегирован, либо оставаться по умолчанию, при этом администраторы домена сохраняют исключительный доступ для изменения членства в группах. Поскольку эта OU по существу требуется для защиты обсуждаемых групп, логически следует, что члены из этих групп (выделенные вторичные, третичные и даже четвертичные административные учетные записи для различных пользователей) также должны существовать в этом месте.
Настоящий ответ (тм) выглядит примерно так: э-э ... может быть, в зависимости от того, чего вы пытаетесь достичь. Расскажи нам больше о Зачем вы думаете об этом, и мы можем дать вам более конкретный ответ. Чего вы на самом деле пытаетесь достичь?
Мне известно об отсутствии конкретной передовой практики. Active Directory имеет защиту (adminSDHolder и sdProp) для предотвращения компрометации привилегированных учетных записей действиями делегирования управления. У вас нет большого риска открыть «Администраторы домена» или другое привилегированное членство в группе, просто поместив привилегированные учетные записи в OU.
Если вы хотите сделать это просто для визуальной организации, вам следует прочитать об использовании запросов в «Active Directory - пользователи и компьютеры». Вы можете создавать «представления» объектов Active Directory, которые выглядят практически так, как вы можете себе представить.
Если ваши цели выходят за рамки визуального, вам нужно подумать о множестве проблем.
Физическая структура раздела домена Active Directory (структура OU) лучше всего структурирована так, чтобы облегчить, во-первых, делегирование управления, а во-вторых, развертывание групповой политики.
Если это предлагаемое разделение основано на проблеме делегирования контроля, вам следует прочитать adminSDHolder, sdProp, и как разрешения для привилегированных учетных записей работают в AD.
Если вы говорите об управлении приложением групповой политики, тогда обязательно поместите учетные записи в OU. (Черт возьми, сложите их пополам.) Еще есть компонент «это зависит от того, чего вы пытаетесь достичь». Вы ищете простой способ разделить групповую политику пользователей по классам пользователей? Фильтрация объектов групповой политики с членством в группах может дать то же самое, что и вы, и избавить вас от необходимости «повторяться», связывая общие объекты групповой политики в нескольких местах (или, что еще хуже, дублируя одни и те же параметры в нескольких объектах групповой политики).
Природа вашего вопроса заставляет меня думать, что вам, вероятно, стоит взглянуть на некоторую документацию по проектированию Active Directory (например, https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/ad-ds-design-and-planning), слишком.
Да, вам нужно будет сделать это, чтобы установить для них правильную политику. Видеть https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access для получения подробной информации о том, какими должны быть эти правила.
Чтобы все было просто; да, это добавляет ценности, я не вижу недостатков.
Целью такого сценария является использование в вашей организации групповой политики для большого количества пользователей.
В качестве выделенного подразделения вы можете легко изолировать учетную запись администратора от всех пользователей GPO.