我需要在 AD 中创建安全组。我可以识别我需要的组,假设它们是:管理、财务、销售和工程。我可以识别每个组需要访问的资源(尽管这可能是一项繁琐的任务)。我可以识别所需的访问级别。
大多数公司会根据需要添加安全组。但这种情况是公司已经成熟,但从未使用过安全组。实施安全组是否有最佳实践?有什么技巧吗?或者要避免的陷阱?有没有人知道有什么工具可以加快组->资源映射过程?
答案1
我实施它的方式是基于微软对 Windows Server 2003 的建议(可在 MCSE 自定进度考试培训套件中找到)70-294:规划、实施和维护 Microsoft Windows Server 2003 Active Directory 基础架构)是:
- 为组织内的每个职位创建一个全球安全组(例如首席执行官、销售总监等)
- 为每个资源创建一个域本地安全组(或者如果您授予某些人只读权限而授予其他人修改权限,则创建两个组)(例如,销售文件修改者、营销数据读取者)
- 使用域本地安全组为您的资源分配权限(例如,将销售文件的修改权限授予销售文件修改者组)
- 将用户分配到相关的全局安全组(例如,让你的 CEO 成为 CEO 安全组的成员)
- 将全局安全组添加到相关域本地安全组(例如,将销售主管组添加到销售文件修改者组)
因此你有:用户帐户->工作角色安全组->资源权限安全组->资源权限
如果这样做,如果您拥有大量资源,您最终可能会拥有很多组,尤其是域本地组,但这会使其保持相对简单和易于维护。试图变得聪明并拥有多层嵌套组只会带来复杂性和灾难,相信我!
确保除管理员之外的任何人都没有对任何文件拥有完全控制权也是一个好主意。这可以防止用户自作聪明地配置自己的权限。
答案2
如果不了解你的环境,很难给你具体的建议,但为了尽可能广泛地描绘,我建议你遵循最小特权政策在您所有的许可委托中。
hmallett 的建议与最小特权政策背后的理念相结合,将为您提供一个非常灵活且相当安全的环境。