Назад | Перейти на главную страницу

Добавить учетную запись из доверенного домена администраторам домена

Наш домен доверяет внешнему домену (не в том же лесу), и нам нужно добавить группу из внешнего домена в Администраторы домена группа нашего домена.

Я понимаю, что Администраторы домена группа это Глобальный group, поэтому мы не можем добавлять в нее группы из других доменов. Но я видел несколько обходных путей в Интернете, но ни один из них, похоже, не работает в нашей ситуации.

Я пробовал создать универсальный группу и локальную группу домена, но я не могу добавить ни одно из них в Администраторы домена группа и только домен Местный groups позволяет мне добавлять учетные записи из внешнего доверенного домена.

Глобальная группа безопасности (например. Администраторы домена)
- Можно добавить Локальный домен группа: Нет
- Можно добавить Глобальный группа: да
- Можно добавить Универсальный группа: Нет
- Можно добавить из доверенного домена: Нет
Универсальная группа безопасности (например. Администраторы предприятия)
- Можно добавить Локальный домен группа: Нет
- Можно добавить Глобальный группа: да
- Можно добавить Универсальный группа: да
- Можно добавить из доверенного домена: Нет
Локальная группа безопасности домена (например. Администраторы)
- Можно добавить Локальный домен группа: да
- Можно добавить Глобальный группа: да
- Можно добавить Универсальный группа: да
- Можно добавить из доверенного домена: да

               |      Group can contain members of type                 |
| Group type   | Global | Universal | Domain local | Trusted Foreigners |
|--------------|--------|-----------|--------------|--------------------|
| Global       | Yes    |           |              |                    |
| Universal    | Yes    | Yes       |              |                    |
| Domain local | Yes    | Yes       |              | Yes                |

В Глобальный Администраторы домена группа может содержать только другие Глобальный группы.

И Глобальный кажется, что группы не могут прямо (или косвенно) содержать принципы из чужих областей.

Обходной путь

Ужасным обходным решением может быть:

У меня есть группа, которую я хочу добавить к каждому местному Администраторы group на каждой машине в домене:

~~Как добавить группу в Администраторы группа на каждой машине в домене?~~

Не может работать; а Локальный домен группа не может содержать других Локальный домен группы.

Единственный обходной путь, который я вижу, - это вручную создать дублирующиеся учетные записи для каждого пользователя в локальном домене.

Минусы: снижение безопасности сети, снижение производительности пользователей, усложнение администрирования, ухудшение административного контроля, несогласованные политики, увеличение совокупной стоимости владения.

Бонусный чат

Из Спецификация приложения для Microsoft Windows Server, Глава 5. Службы безопасности:

Единый вход (SSO) позволяет пользователям корпоративной сети беспрепятственно получать доступ ко всем авторизованным сетевым ресурсам на основе единой аутентификации, которая выполняется при первоначальном доступе к сети. SSO может повысить продуктивность сетевых пользователей, снизить стоимость сетевых операций и повысить безопасность сети.

Лучшая сетевая безопасность. Все методы единого входа, доступные в Windows, обеспечивают безопасную аутентификацию и обеспечивают основу для шифрования сеанса пользователя с сетевым ресурсом. Устранение нескольких паролей также уменьшает распространенный источник нарушений безопасности - пользователи записывают свои пароли.

Повышена продуктивность пользователей. От пользователей больше не требуется запоминать несколько входов в систему или запоминать несколько паролей для доступа к сетевым ресурсам. Это также является преимуществом для сотрудников службы поддержки, которым нужно отправлять меньше запросов о забытых паролях.

Более простое администрирование. Задачи, связанные с единым входом, выполняются прозрачно в рамках обычного обслуживания с использованием тех же инструментов, которые используются для других административных задач.

Лучший административный контроль. Вся информация, относящаяся к SSO, хранится в едином репозитории, Active Directory. Поскольку существует единый авторитетный список прав и привилегий каждого пользователя, администратор может изменить привилегии пользователя и знать, что результаты будут распространяться по всей сети.

Объединение разнородных сетей. Присоединяясь к разрозненным сетям, можно консолидировать административные усилия, обеспечивая последовательное применение передовых методов администрирования и корпоративных политик безопасности.

Бонусное чтение

Объем группы (архив)

Он специально разработан, чтобы быть таким сложным. Это не только противоречит передовой практике, но и, как правило, совершенно неразумно.

По сути, вы передаете контроль над своим доменом другому лицу, безопасность, политики, аудит и процедуры которого находятся вне вашего контроля и вне его. Более того, ваша среда имеет как минимум двойную (а возможно и больше) поверхность атаки.

Есть два правильных метода (с моей точки зрения) для «достижения» того, что вы ищете.

Я не рекомендую использовать для этой цели группу «Администраторы домена», это редко бывает абсолютно необходимо.
(Предпочтительно) Создайте глобальную группу с необходимым делегированным доступом к Active Directory, создайте НОВЫЕ учетные записи в вашем домене, чтобы эти посторонние лица могли использовать их при выполнении задач в вашей структуре AD.
(Менее предпочтительно) Создайте локальную группу домена с соответствующим делегированным доступом к Active Directory, добавьте сторонние учетные записи в эту локальную группу домена. (Локальные группы домена рекомендуются Microsoft для безопасного доступа к ресурсам [например, спискам ACL / правам пользователей], фактически для всех вещей. Кроме Разрешения Active Directory [DSACL], чтобы избежать ситуации, когда внешний участник имеет доступ к домену).

Если НЕ требуется административный доступ к AD (т.е. просто хочу управлять серверами / рабочими станциями / и т. д.), то отмечу, что администраторы домена должны не быть администраторами на любых компьютерах, кроме контроллеров домена.

Выделенные учетные записи должны использоваться для администрирования рабочих станций, отдельные выделенные учетные записи должны использоваться для администрирования серверов.

Эти учетные записи должны быть добавлены в пользовательские локальные группы домена, которые (через GPO) можно легко настроить для включения в группы локальных администраторов соответствующих компьютеров-членов. Администраторов домена следует специально удалить (через GPO или другими способами) из локальных групп администраторов на всех рядовых серверах.

Обновленный ответ к обновленному вопросу

Использовать Группы с ограниченным доступом групповой политики. Через объект групповой политики, который не влияет на какой-либо контроллер домена, создайте запись для «Группа, которую я хочу добавить в каждую локальную группу администраторов» в записи, в поле с надписью «Член» вы добавите «Администраторы», это обеспечит что «Группа, которую я хочу добавить в каждую локальную группу администраторов», локальная группа домена добавляется в локальную группу администраторов каждого компьютера, на который действует указанная политика.

При работе с группами с ограниченным доступом и «администраторами» будьте особенно осторожны, чтобы убедиться, что контроллеры домена не включены или не затронуты этой политикой (посредством делегирования, фильтрации безопасности, фильтрации WMI или правильного связывания GP).

Нет, вы не можете использовать встроенный продукт. И обычно вам не нужно этого делать, потому что администраторы домена получают почти все свои разрешения от встроенной группы администраторов домена. Которые могут иметь участников из других доменов.

У вас также должна быть отдельная административная группа для предоставления доступа рядовым серверам / рабочим станциям.

Существует продукт Microsoft Identity Manager, который может добавлять учетные записи из доверенного административного леса в Domain Admins для членства в группах по времени, но это, вероятно, больше, чем то, что вы ищете.