服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 从头开始创build安全组 – 最佳实践
Intereting Posts
如何从静态NAT NETMAP中排除多个目的地? 有多less用户可以同时连接到Windows 2003terminal服务器? Lotus Domino HTTP:定义MIMEtypes 应用puppet modulepath时出错? 如何检查是否启用了mod_alias? Vmware工具可能lockingWindows Server上的文件/文件夹 Azure将虚拟机从A2 / 3调整为DS2 v2 同时操作多个虚拟机 httpd死了但pid文件存在| httpd死了,但sudsys被locking。 Centos 6 HP Proliant智能arrays控制器P800电池更换 使用tc,iptables和htb限制带宽 访问/ cgi-bin / throws 403禁止 将软件设置应用于所有login的用户帐户 我应该采取哪些措施以最好地尝试恢复失败的软件raid5设置? 由两个RAID组上的LUN组成的metalun

从头开始创build安全组 – 最佳实践

我需要在AD中创build安全组。 我可以确定我需要的团队,假设他们是:pipe理,财务,销售和工程。 而且我可以确定每个组需要访问的资源(尽pipe这可能是一个乏味的任务)。 我可以确定所需的访问级别。

大多数公司根据需要添加安全组。 但是,这是一个公司已经成熟但从未使用过安全团体的情况。 有没有实施安全组的最佳做法? 有什么build议吗? 或避免陷阱? 有没有人知道任何工具,可以加快组 – >资源映射过程?

基于微软对Windows Server 2003的build议(在MCSE Self-Paced培训套件中提供的考试70-294:计划,实施和维护Microsoft Windows Server 2003 Active Directory基础架构) ,我已经实现了这一方法:

  • 为组织内的每个职位(例如CEO,销售总监等)创build一个全球安全小组
  • 为每个资源创build一个域本地安全组(如果您给某些人只读权限和其他人修改权限,则为两个组)(例如,销售文件修饰符,市场营销数据读取器)
  • 使用域本地安全组分配权限给您的资源(例如,将销售文件的修改权限授予销售文件修饰符组)
  • 将用户分配给相关的全球安全组织(例如,让您的CEO成为CEO安全组的成员)
  • 将全局安全组添加到相关的域本地安全组(例如,将Sales Director组添加到“Sales Files修饰符”组)

所以你有:用户帐户 – >作业angular色安全组 – >资源权限安全组 – >资源权限

这样做,如果你有很多的资源,你可以结束很多团体,尤其是域本地团体,但它保持相对简单和可维护性。 试图变得聪明和多层次的嵌套组是一个复杂和灾难的秘诀,相信我!

确保pipe理员以外的其他人无法完全控制任何文件也是一个好主意。 这可以防止用户尝试过于聪明并configuration他们自己的权限。

在不了解你的环境的情况下,很难给你具体的build议,但要用最广泛的笔刷来画画,我build议你在所有的许可 – 委托下遵循最低特权政策 。

hmallett的build议与“最低特权政策”背后的思想相结合,将为您提供一个非常灵活但相当安全的环境。