我正在尝试授予用户“次要”管理员权限来在我们的 AD 中设置用户帐户。
我们有 Windows Server 2012,并且我已经有一个“本地管理员”AD 组,我使用它授予某些用户登录每个工作站、安装软件的权限...
目前,我们的 AD 中只有标准的“用户”文件夹,其中包含所有用户,但我无法在此处委派权限,因为它没有 OU。
这里最好的选择是什么。我想我必须将用户移动到不同的文件夹中,有人有建议或更好的想法吗?
答案1
如果您的组织要认真对待 Active Directory 安全性,那么您需要一个基于角色的访问控制 (RBAC) 模型。有很多方法可以实现这一点,包括使用第三方身份管理解决方案。根据我的经验,第三方解决方案只会转移问题并增加复杂性。相反,我发现以下方法非常有效:
1) 不要使用默认的用户容器来委派访问权限。创建 OU 将使您在委派细粒度访问权限和应用组策略时更加轻松。按管理层级分离顶级 OU。任何可用于危害域控制器的东西都归入第 0 层,企业服务归入第 1 层,而您的用户工作站归入第 2 层。您还必须实施策略以防止较高层的管理员帐户登录较低层的计算机,因为这会使它们暴露于凭据盗窃攻击。这意味着您需要为某些管理员提供多个域帐户,具体取决于他们的角色。例如,受雇管理 AD 林的人需要为其企业管理员、域管理员、第 0 层服务器管理员、第 1 层服务器管理员和第 2 层工作站管理员提供单独的帐户。在服务台雇用的人只需要第 2 层 OU 管理员和第 2 层工作站管理员。 OU 管理员帐户用于为其区域/部门创建/删除/修改 AD 对象,工作站管理员帐户用于远程管理其区域/部门的工作站。您需要将这些角色分开,以便较低角色(工作站管理员)的妥协不会损害较高角色(OU 管理员)。这也意味着您现在需要为较高角色管理员实施特权访问工作站 (PAW)。我们玩得开心吗?
2) 建立一个标准化的 OU 结构,以执行最小特权原则。您必须决定该模型是基于位置、部门还是两者兼而有之。对于 Tier-2,我喜欢同时使用两者,其中第一级 OU 基于位置,然后该位置的部门在其下方有 OU。这允许将本地帮助台的权限委派到其位置的所有对象,并且每个拥有自己 IT 人员的部门只能被委派到其对象的权限。Tier-0 和 Tier-1 OU 可以基于运行服务的团队。这完全取决于哪种方式最适合您的组织需求。
3) 您创建的每个 OU 都应包含一组标准的子 OU、安全组、ACL 和 GPO。这样做的原因是,您可以轻松地编写 OU/Groups/ACLs/GPO 的创建脚本,并且每次都会始终以相同的方式运行。标准化是保持理智的关键,相信我。如果您以后决定更改某些内容,请针对所有 OU 结构进行更改,并更新您的创建过程。我更喜欢拥有这些标准 OU:
- 管理员(包含管理 OU 的所有管理组、用户和 PAW 计算机)
- 计算机(包含部门的所有工作站计算机对象;应用受限组 GPO 来为本地管理员填充此 OU 的工作站管理员组)
- 服务器(包含部门的所有服务器计算机对象;应用受限组 GPO 来用此 OU 的服务器管理员组填充本地管理员)
- 用户(包含部门的所有非特权用户对象)
- 组(包含部门的所有非特权组对象)
每个标准 OU 上的 ACL 将用于限制创建/删除用户/计算机/组以及读取/写入所有属性的权限,这些权限只对与 OU 结构关联的标准 OU 管理员组开放。将需要该角色的用户填充到组中。除非绝对必要,否则我强烈建议不要在任何标准管理员组中嵌套组。如果组嵌套失控,您很快就会不知道谁是您的管理员。我更喜欢将 OU 管理员组放在上一级的管理员 OU 中,以允许帮助台用户指定部门 OU 管理员。做对您的组织有用的事情,但要保持一致。
以下是有关此主题的一些很好的信息来源: