AD只读帐户(用于身份validation)
我有Linux服务器pipe理的经验,但是当涉及到Windows我几乎是一个新手。
我有很多使用ADpipe理帐户的第三方应用程序对企业Active Directory执行身份validation。 我总共发现了40多个pipe理员帐户,从合规监pipe的angular度来看,这是一个红旗!
我相信有办法克服这种情况。 我的意图是有一个AD准备好只有帐户能够查询AD Forrest,并返回到应用程序,如果用户名/密码是否有效。 此帐户不得有任何写入。
你对这种情况有何build议?
- 如何find哪些机器被configuration为特定的DNS服务器?
- replaceActive Directory文件服务器共享中的用户
- 我的交换服务器也应该是域控制器吗?
- 如何从您的Windows域中删除任何残余的NT?
- 一台机器和Hyper-v
首先,当你说40个pipe理员级别帐户时,我将假定你的意思是域pipe理员。 这类账户中有40个是非常危险的,因为我相信你已经可以猜到了。 我build议首先要做的是在Active Directory中打开域pipe理员,企业pipe理员和架构pipe理员组。 打开这些组可以让您select一个名为Members的选项卡,以便真正查看每个组中有多less人。 我命名的三个域(域pipe理员,企业pipe理员和模式pipe理员)是最重要的,并允许对你的域/森林进行最大的控制,所以你要确保只有你是一个系统pipe理员,也许是一个select其他人是pipe理员自己或你信任有这些权利。 我只会说你,但我知道有时候有些情况下你必须让其他人获得这些权利。 很less,但确实发生。 以下是Domain Admin属性的截图供参考:
接下来的事情,你需要做的,因为你需要一个或多个帐户,这些第三方应用程序通过AD进行通信/身份validation将创build一个MSA或托pipe服务帐户。 我已经使用了这些帐户,我可以说,当我们认为它们优于仅在AD中使用普通用户帐户时。 避免不惜一切代价给予任何非pipe理员用户/帐户pipe理员权限。
我喜欢做的和已经完成的是在ADUC中为这些服务帐户创build一个新的OU,这样他们很容易pipe理,并且可以拥有某些东西,如GPO(组策略对象,如果您不知道是如何pipe理大量的电脑/用户),如果需要,更容易应用。
您可以通过Windows PowerShell创build和pipe理这些MSA,但要确保至less在版本2的PowerShell上。 创build这些帐户之一的命令只是Add-ADComputerServiceAccount。 无论您想要创build此用户的其他选项都可以在这里find。
MSA的另一个好处是,您可以创build所谓的服务pipe理员(有效的AD人员,具有pipe理这些MSA帐户的权限),他们可以对这些帐户进行委托控制。 这可能对你有好处,因为这个人不需要域pipe理员权限,从长远来看可以节省你的时间,因为他们能够pipe理MSA帐户,让你有更多的时间来更重要的系统pipe理员的东西。
有关MSA最佳实践的列表,请直接从MS目录服务团队查看此文章 。
只需创build一个属于域用户组成员的用户帐户即可。 该帐户不会对目录的其他对象有任何写入权限,除了自身以外。
如果您需要一些更高级的服务帐户,Windows 2008 R2有一些名为托pipe服务帐户。 我从来没有用过它们,但看看它们是不会受伤的:
http://technet.microsoft.com/en-us/library/dd560633%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd548356%28v=ws.10%29.aspx
希望能帮助到你 ;)