这只是一个简单的问题:
在 Active Directory 中为系统管理员(包括域控制器管理员)创建专用 OU 是否有意义?采用这种方法有什么缺点吗?在这方面有没有什么好的做法?
答案1
正如其他回复中提到的那样,它可以很好地用于 GPO 链接——尽管我会绝不仅为此目的而进行此配置更改。
还要注意的是,Active Directory 确实有“一项保护措施(adminSDHolder 和 sdProp),用于防止控制委托活动危及特权账户“,但此保护措施仅处理直接或间接属于受保护组(域管理员、服务器操作员、帐户操作员、备份操作员等)的用户帐户;完整列表在此处:https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory)。我认为,sdProp 过程虽然有益,但只是 Active Directory 安全性的一层保护,不足以作为保护敏感安全主体的唯一保护层。
虽然这是 Active Directory 的一大特色,但问题是,如果遵循(有时含糊不清的)最佳实践,这些组将大部分是空的。此外,选择遵循最佳实践必然会导致必须创建几个自定义组,并使用它们来保护环境中的不同访问权限 - 具有工作站管理员访问权限的组、具有服务器管理员访问权限的组、具有 Exchange 管理员访问权限的组、具有虚拟化环境管理员访问权限的组、具有共享文件系统管理员访问权限的组、具有其他应用程序和其他 LDAP 集成应用程序、服务和设备的管理员访问权限的组;被委派访问 Active Directory 本身的组。
这些组中的几个应该像“域管理员”或链接中详述的任何其他组一样受到尊重 - sdProp/adminSDHolder 就是这样的不是支持纳入其他组 - 仅排除(我上次检查时) 4 个预定义组。
为了正确轻松地实现对这些组的管理委托,应将这些组保留在一个单独的 OU 中,可以委托访问权限,或保留默认设置,域管理员保留修改组成员身份的唯一访问权限。由于此 OU 本质上是保护所讨论组所必需的,因此从逻辑上讲成员这些组(不同用户的专用二级、三级、甚至四级管理账户)也应该存在于此位置。
答案2
真正的答案 (tm) 是这样的:呃——也许吧,这取决于你想要实现什么。告诉我们更多关于为什么您正在考虑这样做,我们可以给您更具体的答案。您实际想要实现什么目标?
据我所知,没有特定的最佳实践。Active Directory 有一个保护措施(管理员SDHolder和sdProp) 以防止控制委派活动危及特权帐户。只需将特权帐户放入 OU,您就不会面临开放“域管理员”或其他特权组成员身份的重大风险。
如果您希望这样做只是为了直观地组织,您应该阅读“Active Directory 用户和计算机”中有关使用查询的内容。您可以以任何您能想到的方式创建 Active Directory 对象的“视图”。
如果您的目标超越了视觉,那么您需要考虑各种问题。
Active Directory 域分区的物理结构(OU 结构)的最佳结构首先是为了便于控制委派,其次是为了便于组策略部署。
如果这个提议的分离是基于对控制权委托的担忧,那么你最好阅读管理员SDHolder,sdProp,以及特权帐户的权限在 AD 中的工作原理。
如果您谈论的是控制组策略应用程序,那么当然,将帐户放在一个 OU 中。(哎呀,把它们放在两个 OU 中。)这其中也有一个“这取决于您要完成的任务”的组成部分。您是否在寻找一种简单的方法来为某一类用户隔离用户组策略?使用组成员身份过滤 GPO 可能会实现您想要的相同目标,并且可以防止您通过链接多个位置的通用 GPO(或者更糟的是,在多个 GPO 中重复相同的设置)来“重复自己”。
你的问题的性质让我认为你应该看看一些 Active Directory 设计文档(例如https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/ad-ds-design-and-planning), 也。
答案3
是的,您需要这样做才能为其设置正确的策略。请参阅https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access了解这些政策的具体内容。
答案4
简单来说,是的,它增加了价值,我没有看到任何缺点。
在这种情况下,目标是如果您的组织使用大量用户组策略。
作为专用 OU,您可以轻松地将管理员帐户与所有用户 GPO 隔离。