Active Directory边界
生活随笔
收集整理的這篇文章主要介紹了
Active Directory边界
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />以下內容是摘自筆者編著,最新出版的《網管員必讀——網絡安全》(第2版)一書。
?
10.3.1 ?Active Directory邊界
??? 創建Active Directory基礎結構時,必須小心斟酌環境的安全邊界。如果充分規劃組織的安全委派和實施計劃,組織就可以獲得一個更安全的Active Directory設計。如果環境發生了重大變化,例如合并或重組,則只需對設計結構重新調整。 Active Directory中有幾種不同的邊界類型。這些邊界定義了林、域、站點拓撲結構以及權限委派,當安裝Active Directory時,它們會自動建立。但是,必須確保在權限邊界中加入組織要求和策略。管理權限委派相當靈活,可以適應不同組織的要求。例如,要在安全和管理功能之間維持適當的平衡,你可以在安全邊界和管理邊界之間劃分權限委派邊界。1.安全邊界
??? 安全邊界可幫助定義組織內部不同組的自主或隔離。很難在足夠的安全(基于組織的業務邊界的建立方法)和維持一致的基礎功能級別的需要之間進行平衡。為了成功實現此平衡,必須針對委派管理權限的安全隱患和其他涉及環境的網絡結構選擇,權衡組織所面臨的威脅。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 林是用戶的網絡環境的真正安全邊界。建議創建單獨的林以保持環境的安全,防止來自其他域的管理員的潛在破壞。此方法也有助于確保在一個林遭到破壞時,不會自動導致整個企業遭到破壞。 域是Active Directory的管理邊界,而不是安全邊界。如果組織成員都是善意的,域邊界將提供對組織的每個域內的服務和數據進行自助管理。很遺憾,對于安全而言,實現隔離并不簡單。例如,域不能完全隔離惡意域管理員的***。這種隔離只能在林級實現。 在域中,組織單位(OU)提供了另一級別的管理邊界。OU提供了一種靈活方法對相關資源進行分組,并將管理訪問權限委派給合適的人員,但不向他們提供管理整個域的能力。 類似域,OU并非真正的安全邊界。雖然你可以給OU分配權限,但是同一域中的所有OU都將針對域和林資源對資源進行身份驗證。而且,良好設計的OU層次結構有助于開發、部署和管理有效的安全措施。 用戶的組織可能需要考慮在當前的Active Directory設計中劃分服務和數據的管理控制。有效的Active Directory設計要求完全了解組織對服務自主和隔離以及數據自主和隔離的要求。2.管理邊界
因為可能需要對服務和數據進行分段,所以必須定義不同的必需管理級別。除了那些可能為用戶的組織執行特有服務的管理員之外,還建議考慮以下類型的管理員(不過一般企業中是沒有專門的這些管理員的)。(1)服務管理員
Active Directory服務管理員負責配置和傳送目錄服務。例如,服務管理員維護域控制器服務器、控制目錄級別的配置設置以及確保服務可用性。應該考慮讓組織中的Active Directory管理員成為你的服務管理員。 Active Directory服務配置通常由屬性值確定。這些屬性值與其各自存儲在目錄中的對象的設置相對應。因此,Active Directory中的服務管理員也是數據管理員。組織需求可能需要用戶在Active Directory服務設計中考慮其他服務管理員組。包括以下幾方面內容。 n???????? 域管理組,主要負責目錄服務。 林管理員選擇組來管理每個域。由于每個域的管理員被授予高級訪問權限,所以這些管理員應該是高度受信任的個人。域管理員通過Domain Administrators組和其他內置組來控制域。 n???????? 管理DNS的管理員組。 DNS管理員組完成DNS設計和管理DNS基礎結構。DNS管理員通過DNS Administrators組來管理DNS基礎結構。 n???????? 管理OU的管理員組。 OU管理員負責指定各OU的管理者(組或個人)。每個OU管理員管理存儲在分配的Active Directory OU中的數據。這些組可控制如何委派管理,如何將策略應用于OU中的對象。OU管理員還可以創建新子樹并委派他們負責的OU的管理。 n???????? 管理基礎結構服務器的管理員組。 負責基礎結構服務器管理的組管理WINS、DHCP并潛在管理DNS基礎結構。在某些情況下,處理域管理的組將管理DNS基礎結構,原因是Active Directory已與DNS集成并在域控制器上存儲和管理。(2)數據管理員
Active Directory數據管理員管理存儲在Active Directory或加入至Active Directory中的計算機上的數據。這些管理員不能控制目錄服務的配置和傳送。數據管理員是由組織設立的安全小組的成員。有時,Windows的默認安全組并不清楚組織的所有情況。此時,組織可開發自己的安全組命名標準和意義,最大程度地滿足環境的需要。數據管理員的部分日常工作包括以下幾方面內容。 n???????? 控制目錄中的對象子集:通過可繼承的屬性級別訪問控制,數據管理員可被授予對目錄中非常具體的部分的控制權,但是無法控制服務本身的控制。 n???????? 管理目錄中的成員計算機以及那些計算機上的數據。在許多情況下,存儲在目錄中的對象的屬性值確定目錄的服務配置。總之,若要允許Active Directory服務和目錄結構的所有者加入林或域基礎結構,組織就必須信任林和所有域中的所有服務管理員。此外,企業安全計劃必須開發標準策略和程序以便針對管理員執行適當的背景檢查。總結
以上是生活随笔為你收集整理的Active Directory边界的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 祝文欣讲座免费在线学习 免费下载
- 下一篇: 学会沉默