У нас есть несколько рабочих станций, которые будут работать в удаленных местах, где у нас не обязательно будет хорошая физическая безопасность. Нам необходимо убедиться, что у нас есть полный доступ к этим машинам (через удаленный рабочий стол, групповую политику, IPMI / удаленный KVM и т. Д.), Поэтому мы будем использовать аппаратные VPN в каждом из мест. Поскольку мы используем аппаратную VPN, это означает, что, возможно, кто-то может подключиться к порту в VPN, но им потребуется знать нашу сетевую инфраструктуру, имя пользователя / пароли и т. Д., И мы также будем блокировать весь входящий трафик обратно. в наш офис через брандмауэр, за исключением трафика Active Directory.
Итак, возник вопрос, какой контроллер домена использовать? Сначала я установил контроллер домена только для чтения, который является членом нашего основного домена, но даже это заставило нас чувствовать себя некомфортно. Кроме того, у него есть собственный набор проблем, связанных с ним, поэтому сейчас я рассматриваю другие варианты, прежде чем мы действительно начнем использовать систему (она все еще находится в разработке).
Думаю, я либо создам дочерний домен, либо выберу совершенно отдельный домен. Тем не менее, мне все равно потребуется установить доверительные отношения между доменами, поскольку я хочу, чтобы пользователи моего офиса могли легко управлять удаленными компьютерами в полевых условиях, но это исключительно для целей управления, и соединение может быть разорвано в любое время, пока по-прежнему оставляя полевые компьютеры полностью работоспособными. Да я мог у меня нет трастов вообще, но я хотел бы, если возможно, управлять большей частью пользовательских ресурсов из одного домена. Ключевым моментом здесь является то, что у нас есть возможность удаленно управлять этими компьютерами и получать к ним доступ, не позволяя им ставить под угрозу безопасность нашей сети офиса.
Есть лучший способ сделать это? Что делали другие в подобных ситуациях? Спасибо!
Все сводится к компромиссу между безопасностью и удобством использования одного набора учетных данных администратора из вашего основного домена. Я рекомендую не создавать новый домен и доверять, потому что это только создаст вам ложное чувство безопасности. Даже не развертывайте контроллер домена в этом месте. Не переусердствуйте. В конечном итоге у вас будет больше работы, чем необходимо, с очень небольшой выгодой с точки зрения безопасности. Используйте VPN, чтобы позволить клиентам аутентифицироваться против офисных контроллеров домена. Заблокируйте их доступ к сети на своем брандмауэре, чтобы ограничить их только IP-адресами, портами и протоколами, необходимыми для их целей. Включите кэширование учетных данных на клиентах, чтобы пользователь мог войти в систему при отключении сети. Включите шифрование диска BitLocker на клиентах, чтобы уменьшить автономный доступ к диску. Используйте решение Microsoft LAPS, чтобы обеспечить уникальность паролей локальных администраторов и их резервное копирование в Active Directory. Самое главное, никогда не входите в систему клиентов с учетной записью домена, имеющей административный доступ к любому из других компьютеров в вашей сети. Примените групповую политику, чтобы запретить учетную запись администратора вашего домена в сети и интерактивный вход в эти системы, чтобы этого никогда не произошло. А еще лучше использовать учетную запись LAPS для всего удаленного администрирования. Таким образом, если кто-то будет взломан, они будут ограничены этой системой и любыми учетными записями, которые все еще находятся в памяти. Дайте мне знать, если у вас возникнут вопросы или сомнения по поводу этих предложений. Удобство / удобство использования и безопасность всегда будут противоречить друг другу. Ключ в том, чтобы найти золотую середину, где это безопасно и также полезно, но, к сожалению, не всегда удобно.