Мне нужно создать группы безопасности в AD. Я могу выделить группы, которые мне нужны, скажем, это: менеджмент, финансы, продажи и инжиниринг. И я могу определить ресурсы, к которым каждой группе требуется доступ (хотя это может быть утомительной задачей). И я могу определить необходимые уровни доступа.
Большинство компаний добавляют группы безопасности по мере необходимости. Но это ситуация, когда компания уже сформировалась, но никогда раньше не использовала группы безопасности. Есть ли лучшие практики для внедрения групп безопасности? Есть какие-нибудь советы? Или подводных камней, которых следует избегать? А кто-нибудь знает какой-нибудь инструмент, который мог бы ускорить процесс сопоставления групп-> ресурсов?
То, как я его реализовал, основано на рекомендациях Microsoft для Windows Server 2003 (можно найти в комплекте самостоятельного обучения MCSE для экзамена 70-294: Планирование, внедрение и обслуживание инфраструктуры Microsoft Windows Server 2003 Active Directory) является:
Итак, у вас есть: Учетная запись пользователя -> Группа безопасности ролей задания -> Группа безопасности разрешений ресурсов -> Разрешения ресурсов
Поступая таким образом, вы можете получить множество групп, особенно локальных доменных групп, если у вас много ресурсов, но это делает его относительно простым и удобным в обслуживании. Попытка стать умнее и иметь несколько уровней вложенных групп - это рецепт сложности и катастрофы, поверьте мне!
Также было бы неплохо убедиться, что никто, кроме администраторов, не имеет полного контроля над любыми файлами. Это предотвращает попытки пользователей быть слишком умными и настраивать собственные разрешения.
Не зная своего окружения, трудно дать вам конкретный совет, но для рисования самой широкой кистью я бы посоветовал вам следовать Политика наименьших привилегий во всех ваших разрешениях-делегировании.
Советы hmallett в сочетании с менталитетом, лежащим в основе Политики минимальных привилегий, предоставят вам очень гибкую, но довольно безопасную среду.