背景
我们公司最近签订了合资企业(合资企业),我们是其中的执行合伙人。作为执行合伙人,我们负责网络设置和支持。该合资企业只负责一项工作,任何一方都不希望另一方访问其现有的其余网络。
我们需要共享来自 AD 网络、VOIP 电话系统、打印机和几台 SQL 服务器的文件。计划是将所有共享资源物理地放在相关站点,并让两个合资伙伴登录我们的 AD 以对共享资源进行身份验证。每个合资伙伴都有现有的 AD 网络,可以通过此共享站点的 VPN 隧道访问这些网络。每个合资伙伴将继续保留其主站点的现有电子邮件和现有共享。
两家合作伙伴目前都是运行 WindowsXP 的 Win2003R2 商店,并计划在未来 6 个月内推出 Windows7。SQL 服务器是 2005 版。
此站点将活跃约 4 年。
问题
我们如何允许合作伙伴登录我们的 AD,但阻止他们访问除站点上的服务器之外的任何其他服务器?
我们如何设置,以便每个合作伙伴各自的 IT 部门都可以管理本地工作站,而无需在我们的 AD 上拥有任何管理员权限?
目前,我们正在使用下面的网络图。使用 VLAN,我们可以阻止每个合资伙伴遍历其他合作伙伴的 VPN 链接,并且仍然允许访问共享资源,但此设置不允许每个合资伙伴管理自己的工作站和用户。
我们还讨论了其他一些想法:
- 在合资伙伴之间建立双向信任,并允许每个合作伙伴管理自己的用户和机器。这样做有什么好处和坏处?这种信任能延伸到多远?
- 创建新域并设置与每个原始域的单向信任。这样做有什么好处和坏处?
答案1
回复:“我们如何允许我们的合作伙伴登录我们的 AD,但阻止他们访问除网站上的服务器之外的任何其他服务器?”
我强烈建议你创建一个 AD森林明确用于合资企业资源。与合资企业成员现有的 AD 基础设施创建单向非传递林信任。使用选择性 DNS 转发,在合资企业服务器托管的安全 AD 集成 DNS 区域中维护合资企业的 DNS。这使合作伙伴与您自己的服务器保持“一定距离”。双方合作伙伴都应明确将共享数据/应用程序/服务器放入共享区域。使用您现有的 AD 作为“共享区域”可能会为您节省一点许可费用,但不值得增加风险和复杂性。
回复:“我们如何设置,以便每个合作伙伴各自的 IT 部门都可以管理本地工作站,而无需在我们的 AD 上拥有任何管理员权限?”和“目前,我们正在根据下面的网络图进行工作。使用 VLAN,我们可以阻止每个合资伙伴遍历其他合作伙伴的 VPN 链接,并且仍然允许访问共享资源,但此设置不允许每个合资伙伴管理自己的工作站和用户。”
我不确定我是否理解。我明白您所说的关于将网络流量与 JV 成员隔离,但我不明白其余内容。JV 成员是否会在自己的 AD 林中或 JV 林中拥有用户和计算机帐户?我不清楚。我会让 JV 成员在自己的 AD 林中维护他们的用户和计算机帐户,并通过 JV AD 林中的组成员身份授予对 JV 共享资源的访问权限。
哦!我想我明白了。在这个“站点”上,将有一些客户端计算机,由两个 JV 成员的用户共享!我说得对吗?
您可以通过多种不同的方式来处理这些“共享”计算机。
我可能会将计算机加入 JV AD 域,但你可能不会。客户端计算机的所有权可能会决定我如何处理。如果客户端计算机仍属于每个 JV 成员,那么我认为我会将它们加入拥有该权限的 JV 成员的 AD 域。
当客户端计算机加入 JV AD 域时,可以使用来自 JV 成员域(以及 JV AD 域本身)的用户帐户登录客户端计算机(因为从 JV AD 林到成员的 AD 林存在信任关系)。
请注意,在“共享站点”中安装来自每个成员的 AD 林的只读域控制器会很有帮助。如果客户端计算机已加入 JV AD 林,则计算机组策略将来自 JV AD 林。但是,用户组策略将来自成员的 AD 林,因此拥有本地 DC 会很有帮助。如果客户端计算机已加入成员的 AD 林,那么显然,拥有来自每个成员林的本地 DC 会很好。
JV AD 林中的控制委派可用于为 JV 成员的 IT 人员提供他们在 JV AD 林中所需的任何能力。组策略“受限组”可用于授予 JV 成员的 IT 人员对加入 JV AD 域的“他们的”客户端计算机的管理权限。(保留在成员的 AD 林中的客户端计算机是一个没有实际意义的问题。)
回复:“在合资伙伴之间建立双向信任,并允许每个合作伙伴管理自己的用户和机器。这样做的优缺点是什么?这种信任能延伸到多远?”和“创建新域并从每个原始域设置单向信任。这样做的优缺点是什么?”
从本质上来说,Windows“信任关系”并不授予任何访问权限。请看以下语句:“域 A 信任域 B。”
现在,将“信任”一词替换为短语“允许在权限中命名来自以下用户、组和计算机”:“域 A 被允许在权限中命名来自域 B 的用户、组和计算机。”
“信任”并不授予访问权限,它允许您授予访问权限。如果您拥有专用的 JV AD 林,则希望它与 JV 成员的 AD 林具有外部非传递单向信任,以便 JV 成员林中的用户和组可以在权限中命名或加入 JV AD 林中的组。这将允许在每个 JV 成员自己的 AD 林中管理该成员的用户和计算机帐户。通过使用位于 JV AD 林中的组来控制对 JV 资源的权限,JV 可以有效地管理访问 JV 资源的权限。
从我对您的情况的理解来看,在任何情况下您都不会想要双向信任。我认为合资公司的任何成员都不希望在权限中命名来自另一成员的用户、组或计算机,这种想法对双方来说都是不利的,对吗?听起来合资公司的两个成员所拥有的服务器上不会托管共享资源,因此相互信任不是必要的。话虽如此,但再说一遍,双向信任仅允许授予访问权限,实际上并不授予任何访问权限。
几年前,我曾参与过一个类似的项目,该项目由当地一家医院协会和几组医生共同开展。他们为 JV 创建了一个专用的 AD 林,但没有与现有 JV 成员的基础设施建立信任关系。最终,我们在 JV 成员的本地 AD 和 JV AD 中都获得了重复的凭据。这是我在他们的网络中看到的最大“缺陷”,也是我将来要避免的事情。
我看到您从事建筑行业。我有一个客户,他负责大型建筑项目的工程和项目管理,并且经常有员工在客户现场的现场办公室(又称“拖车”)工作多年。我还没有遇到过客户或项目的其他承包商达到您所期望的详细程度的情况,但如果确实发生了这种情况,我会采取我上面概述的方式。几个 Windows Server 许可证和计算机用于托管 JV AD(以及成员的现场只读 DC)的域控制器的费用在 4 年内不会摊销太多,并为开展共享操作奠定了非常坚实的基础。