通过 Active Directory [组策略] 分发机密

通过 Active Directory [组策略] 分发机密

我想简化我的生活,并将机密(真正的机密,如加密私钥)分发给 Active Directory 域成员计算机。可能通过 Active Directory 组策略,但对任何可行的解决方案都会感到满意。

  1. 只有一部分域成员计算机需要此机密。
  2. 所有接收该密钥的计算机都将收到同一个密钥。密钥不特定于特定计算机。
  3. 我需要将秘密作为文件、注册表值、存储中的带有私钥的证书或类似的东西进行传输,以让应用程序读取它,开发人员正在进行合作,所以我有一定的自由。
  4. 我需要确保在部署期间和部署后,只有特定用户或组(即具有有效 ACL)才能访问机密。这意味着从任何经过身份验证的用户都可以访问的网络共享中复制包含机密的文件将不符合条件,即使在复制后应用了文件级权限。
  5. 域控制器是Windows 2016,成员计算机多种多样。

证书存储“LocalMachine\My”实际上是存储机密的好地方,但我找不到通过组策略管理它的记录方法。所有其他存储都不允许我存储私钥,或者至少我没有找到如何做到这一点。我找到了很多关于分发公钥和证书的文档,但没有关于分发私钥的文档。

NTFS 卷上的某些特定文件系统目录受文件系统权限保护,也是存储机密的好地方,但没有找到安全复制文件的方法。所有手册都建议授予源网络共享上的“经过身份验证的用户”读取权限,但在我看来这是不可接受的。

是否有可能传播机密?如果可以,如何传播?

答案1

也许我错过了什么,但为什么安全源共享会成为问题?下面的方法可行吗?

  1. 创建一个包含需要该文件(或注册表)的计算机的域本地组
  2. 创建按上述组过滤的 GPO。在委派选项卡中删除 GPO 上的其他读取权限
  3. 设置目标文件适当的权限
  4. 将源网络共享设置为仅对步骤 1 中创建的组可读

相关内容