将受信任域中的帐户添加到域管理员

tag-icon tag-icon windows windows-server-2008 active-directory domain
将受信任域中的帐户添加到域管理员

我们的域信任一个外部域(不在同一林中),我们需要将外部域中的组添加到域管理员我们的域名组。

我理解域管理员团体是一个全球的组,所以我们不能将其他域的组添加到其中。但我在网上看到了几种解决方法,但这些方法似乎都不适用于我们的情况。

我尝试创建一个普遍的组和域本地组,但我无法将其中任何一个添加到域管理员组和仅域当地的组允许我从外部受信任域添加帐户。

  • 全球安全组(例如域管理员

    • 可以添加本地域名团体:否
    • 可以添加全球的团体:是的
    • 可以添加普遍的团体:否
    • 可以从受信任域添加:否

  • 通用安全组(例如企业管理员

    • 可以添加本地域名团体:否
    • 可以添加全球的团体:是的
    • 可以添加普遍的团体:是的
    • 可以从受信任域添加:否

  • 域本地安全组(例如管理员

    • 可以添加本地域名团体:是的
    • 可以添加全球的团体:是的
    • 可以添加普遍的团体:是的
    • 可以从受信任域添加:是的
               |      Group can contain members of type                 |
| Group type   | Global | Universal | Domain local | Trusted Foreigners |
|--------------|--------|-----------|--------------|--------------------|
| Global       | Yes    |           |              |                    |
| Universal    | Yes    | Yes       |              |                    |
| Domain local | Yes    | Yes       |              | Yes                |

全球的 域管理员组只能包含其他全球的组。

全球的团体似乎不能直接(或间接)包含来自外部领域的原则。

解决方法

一个糟糕的解决方法可能是:

我有一个群组,我想将其添加到每个本地管理员域中每台机器上的组:

在此处输入图片描述

如何将群组添加到管理员域中每台机器上都有这个组吗?

无法工作;域本地组不能包含其他域本地组。

我能想到的唯一解决方法是手动为本地域中的每个用户创建重复帐户

缺点:网络安全性降低、用户工作效率降低、管理复杂化、管理控制恶化、政策不一致、TCO增加。

奖金聊天

Microsoft Windows Server 应用程序规范,第 5 章安全服务:

单点登录 (SSO) 允许企业网络用户在首次访问网络时进行一次身份验证,从而无缝访问所有授权的网络资源。SSO 可以提高网络用户的工作效率、降低网络运营成本并提高网络安全性。

  • 更好的网络安全性。Windows 下可用的所有 SSO 方法都提供安全身份验证,并为加密用户与网络资源的会话提供基础。消除多个密码还可以减少常见的安全漏洞来源 - 用户写下密码。

  • 提高用户生产力。用户不再需要记住多个登录名,也不再需要记住多个密码才能访问网络资源。这对服务台人员来说也是一个好处,因为他们需要处理的忘记密码请求更少了。

  • 更简单的管理。SSO 相关任务作为正常维护的一部分以透明方式执行,使用与用于其他管理任务相同的工具。

  • 更好的行政控制。所有 SSO 特定信息都存储在一个存储库中,即 Active Directory。由于每个用户的权利和权限都有一个单一的权威列表,因此管理员可以更改用户的权限,并且知道结果将在整个网络范围内传播。

  • 异构网络的整合。通过连接不同的网络,可以整合管理工作,确保管理最佳实践和企业安全政策得到一致执行。

额外阅读

答案1

它的设计就是如此困难。这不仅违背了良好做法,而且通常是不明智的。

您实际上是将域的控制权移交给另一个实体,而该实体的安全、策略、审计和程序不在您的控制范围内。此外,您的环境的攻击面至少增加了一倍(可能更多)

有两种正确的方法(从我的角度来看)可以“实现”你所寻求的

  1. 我不建议将域管理员组用于此目的,因为这很少是绝对必要的。
  2. (首选)创建一个具有对 Active Directory 必要的委派访问权限的全局组,在您的域中创建新帐户,以供这些外部人员在您的 AD 结构中执行任务时使用。
  3. (不太推荐)创建一个具有适当委派的 Active Directory 访问权限的域本地组,将外部帐户添加到此域本地组。(Microsoft 建议使用域本地组来保护对资源的访问 [即 ACL/用户权限],实际上适用于所有事物除了Active Directory 权限 [DSACL] 以避免外部主体可以访问域的情况)。

如果不需要对 AD 进行管理访问(即只是想管理服务器/工作站/等等。)然后我注意到域管理员应该不是成为域控制器以外任何计算机上的管理员。

应使用专用帐户来管理工作站,应使用单独的专用帐户来管理服务器。

这些帐户应添加到自定义域本地组,这些组(通过 GPO)可轻松配置为适当成员计算机的本地管理员组。应专门从所有成员服务器上的本地管理员组中删除域管理员(通过 GPO 或其他方式)。

更新了答案以配合更新的问题

使用组策略限制组。通过不影响任何域控制器的 GPO,为“我想要添加到每个本地管理员组的组”创建一个条目,在该条目中,在标有“成员”的框中添加“管理员”,这将确保“我想要添加到每个本地管理员组的组”,域本地组被添加到受上述策略影响的每台计算机的本地管理员组。

使用受限组和“管理员”时要格外小心,确保域控制器不包含或受此策略的影响(通过委派、安全过滤、WMI 过滤或正确的 GP 链接)。

答案2

不,您不能使用内置产品。而且您通常不需要这样做,因为域管理员从内置域管理员组获得几乎所有权限。该组可以有来自其他域的成员。

您还应该有一个单独的管理组来授予对成员服务器/工作站的访问权限。

有一种产品 Microsoft Identity Manager,它可以将来自受信任的管理林的帐户添加到域管理员中,以实现基于时间的组成员身份,但这可能超出了您所寻找的范围。

相关内容