我有 Linux 服务器管理的经验,但对于 Windows 我几乎还是个新手。
我有很多第三方应用程序使用 AD 管理员帐户对企业 Active Directory 执行身份验证。总共我发现了 40 多个管理员帐户,从合规监管角度来看,这是一个危险信号!
我确信有办法克服这种情况。我的目的是拥有一个仅可用于 AD 的帐户,能够查询 AD Forrest 并返回应用程序以判断用户名/密码是否有效。此帐户不得有任何写入权限。
对于这种情况您有什么建议?
答案1
首先,当您说 40 个管理员级别帐户时,我假设您指的是域管理员。40 个此类帐户出于多种原因非常危险,我相信您已经猜到了。我建议首先打开 Active Directory 中的域管理员、企业管理员和架构管理员组。打开这些组将允许您选择一个名为“成员”的选项卡,以真正查看每个组中有多少人。我列出的三个(域管理员、企业管理员和架构管理员)是最重要的,可以最大程度地控制您的域/林,因此您要确保只有您作为系统管理员,以及可能是管理员或您信任的少数其他人拥有这些权限。我想说只有您,但我知道有时您必须让其他人获得这些权限;这种情况很少见,但确实会发生。以下是域管理员属性的屏幕截图,供参考:
由于您需要一个或多个帐户,以便这些第三方应用程序通过 AD 进行通信/身份验证,因此您接下来要做的就是创建一个 MSA 或托管服务帐户。我使用过这些帐户,我可以说,我认为归根结底,它们比在 AD 中使用普通用户帐户要好。无论如何,避免授予任何非管理员用户/帐户管理员权限。
我喜欢做的并且已经做的是在 ADUC 中为这些服务帐户创建一个新的 OU,以便于管理它们,并且可以在需要时更轻松地将某些东西(例如 GPO(如果您不知道的话,是组策略对象,是管理大量计算机/用户的方法))应用到它们。
您可以通过 Windows PowerShell 创建和管理这些 MSA,但请确保您使用的是 PowerShell 至少 2 版。创建其中一个帐户的命令只是 Add-ADComputerServiceAccount。您可以找到您想要创建此用户的其他任何选项这里。
MSA 的另一个好处是,您可以创建所谓的服务管理员(实际上是 AD 中有权管理这些 MSA 帐户的人员),他们可以委派控制这些帐户。这对您来说可能很好,因为此人不需要拥有域管理员权限,从长远来看,他们可以节省您的时间,因为他们能够管理 MSA 帐户,从而让您有更多时间处理更重要的系统管理事务。
有关 MSA 最佳实践的列表,请参阅这个帖子直接来自 MS 目录服务团队。
答案2
只需创建一个属于域用户组的用户帐户即可。该帐户除了自身之外,对目录中的其他对象没有任何写入权限。
如果您需要一些更高级的服务帐户,Windows 2008 R2 有一个称为托管服务帐户的功能。我从未使用过它们,但了解一下也无妨:
http://technet.microsoft.com/en-us/library/dd560633%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd548356%28v=ws.10%29.aspx
希望能帮助到你 ;)