我有一个项目来证实我的Active Directory基础设施。
为了做到这一点,我的一位同事告诉我可以在forrest中创build另一个AD域来pipe理。 那就是这个新的域将包含所有pipe理员组来pipe理包含标准账户的其他域。
我真的不明白这个解决scheme,我想知道一些关于这方面的信息,但是我在互联网上找不到任何东西。
有人有关于这方面的信息吗?
提前致谢
我想你的同事正在讨论一个使用空的根域和一个或多个子域的森林模型。 根域将只存储Enterprise Admins Group,Schema Admins组以及Schema Master FSMOangular色和Domain Naming主angular色。 企业pipe理员组将完全控制子域。 这个想法是保护这些强大的组织免受其他pipe理者和潜在的妥协。 您的子域仍然具有标准的域pipe理员组以及内置的运营商组。 所有的标准用户帐户都是在子域中创build的。
他们可能仍然是这个模型的一些用例,但是一般来说你应该尽可能保持你的AD结构简单,并且单一的领域模型就像它一样简单。
有趣的是,Windows Server 2016为pipe理组添加了更多的保护。
希望这可以帮助
你的同事所指的是很久以前被认为是可以接受的做法 。 情况已经不是这样了(我认为这在15年前是可疑的,甚至是可疑的)。 由于森林(而不是域)是安全边界的所在,因此您在此设置(如果有)中获得的安全性非常有限,您为此增加了复杂性并必须处理Microsoft不再推荐使用的子域,除了数量非常有限的情况外(游轮是儿童领域有意义的组织的其余例子)。
你的同事是错的,你不应该这样做。 相反,你应该做的是正确的,并考虑在15年前提出一个可能具有一些小值的实现scheme,使用Active Directory的原始版本来攻击他。 至于如何正确地做好Active Directory并加强Active Directory,除了说你的同事的build议不是一个好主意之外,你还没有提供足够的信息去做出任何明智的build议。 (就个人而言,我会忽视任何人提出的build议一个空的森林根源的进一步的build议。知道他们正在谈论Active Directory的人不会build议这样的事情摆在首位。)
为行政账户和团体设置单独的堡垒森林实际上会更安全。 你可以在这里读更多关于它的内容:
Active Directory域服务(AD DS)的特权身份pipe理https://technet.microsoft.com/zh-cn/library/mt150258.aspx
假设您有一个拥有100个位置的域控制器的生产林。 而你的堡垒森林只在你的主数据中心有域控制器。 如果生产森林遭到侵入,则pipe理域控制器和数据库/ krbtgt帐户的风险较小。 堡垒森林通常也具有更严格的安全设置,您可以拥有单向的森林信任(生产森林信任堡垒森林,但不是其他方式)。 用于限时组的成员/访问权限的新PIMfunction也是安全性的改进。