管理两个受信任的 Active Directory 林的特权管理员组的正确方法是什么?

管理两个受信任的 Active Directory 林的特权管理员组的正确方法是什么?

场景如下:

有两个域(DomA 和 DomB)之间存在信任关系。这种关系是整个森林范围内的,但 DomA 可以访问 DomB 中的资源,而 DomB 中的用户则无权访问 DomA。

在域 A 中,有默认组:域管理员和企业管理员。域管理员应该只是 DomA 中的管理员,而不是 DomB 中的管理员。企业管理员将是两个域中的管理员。通过将 DomA 企业管理员组添加到 DomB 中的内置管理员组,解决了企业管理员的问题,因此该组中的用户可以从域 A 管理域 B,没有任何问题。但这里有一个很大的安全漏洞:

域 A 域管理员可以将自己添加到域 A 企业管理员组,并成为域 B 的管理员。

有没有什么办法可以保证这些东西的安全?

答案1

您的解决方案是在 DomB 中为从 DomA 中选定的用户创建专用的管理帐户,以用于管理 DomB。

这可以防止 DomA 中的漏洞影响 DomB,也可以防止那些需要 DomA 中的域管理员访问权限的人访问 DomB。


现在轮到你可以

  • 创建一个新的安全组“DomB Admins”或其他组(在 DomA 中没有特权访问),可用于委派 DomB 中的必要访问权限。
  • 您可以通过对 ACL 进行适当的修改来保护组“DomB Admins”,以防止 DomA\Domain Admins 修改组成员身份

不可否认的是,第二种选择有点没意义,因为域管理员可以更改相关组的 ACL。如果新组受到保护,不允许域管理员修改,则域管理员可以取得该组的所有权并更改 ACL。

从理论上讲,这种担忧应该是相对没有根据的,因为只有绝对要求域管理员访问权限应由域管理员组的成员拥有(稍后会详细介绍)。此外,管理组的修改应受到监控、审查和审计。

因此,就目前情况而言,您最大的安全漏洞是您在域管理员组中拥有可能不属于该组的帐户(根据您的问题)。您的第二大安全漏洞是,一个林的入侵会自动入侵第二个林。

当有人问“如何限制域管理员的访问”或“如何保护资源不被域管理员修改”时,就存在配置错误。因为它们的设计初衷并不是限制。

相关内容