我有一个项目要保护我的 Active Directory 基础设施。
为此,我的一位同事告诉我可以在森林中创建另一个 AD 域,仅用于管理。也就是说,这个新域将包含所有管理员组,以管理包含标准帐户的其他域。
我不太明白这个解决方案,我想获得一些相关信息,但我在互联网上找不到任何东西。
有人有关于此事的信息吗?
提前致谢
答案1
我认为您的同事正在谈论使用空根域和一个或多个子域的森林模型。根域将仅存储企业管理员组、架构管理员组以及架构主 FSMO 角色和域命名主角色。然后,企业管理员组将完全控制子域。这样做的目的是保护这些强大的组免受其他管理员和潜在危害的侵害。您的子域仍将具有标准域管理员组以及内置操作员组。所有标准用户帐户均在子域中创建。
该模型可能仍有一些用例,但一般来说,您应该尽量保持 AD 结构尽可能简单,并且单个域模型尽可能简单。
有趣的是,Windows Server 2016 为管理员组增加了更多保护。
希望这可以帮助
答案2
你的同事所指的是一种很久以前被认为是可以接受的做法。现在情况已不再如此(而且我认为 15 年前这种做法的价值就值得怀疑)。因为林(而不是域)是您的安全边界所在,所以您从这种设置中获得的额外安全性非常有限(如果有的话),这会增加复杂性,并且必须处理子域,微软不再建议使用子域,除非在极少数情况下(邮轮是子域有意义的组织的剩余示例)。
您的同事错了,您不应该这样做。相反,您应该做正确的事,并考虑打他的头,因为他建议实施 15 年前可能没有什么价值的实施,使用 Active Directory 的原始版本。至于如何正确实施并适当强化 Active Directory,您没有提供足够的信息来提出任何明智的建议,只能说您的同事的提议不是一个好主意。(就我个人而言,我会忽略任何建议空森林根的人的进一步建议。了解 Active Directory 的人首先不会提出这样的建议。)
答案3
实际上,为管理帐户和组设置单独的堡垒林会更安全。您可以在此处阅读更多相关信息:
Active Directory 域服务 (AD DS) 的特权身份管理 https://technet.microsoft.com/en-us/library/mt150258.aspx
假设您有一个生产林,其域控制器分布在 100 个位置。而您的堡垒林仅在主数据中心有域控制器。如果生产林受到入侵,管理域控制器和数据库/krbtgt 帐户的风险较小。堡垒林通常还具有更严格的安全设置,并且您可以拥有单向林信任(生产林信任堡垒林,但反之则不信任)。用于限时组成员身份/访问的新 PIM 功能也是一项安全性改进。