Sub*_*eno 4 active-directory windows-server-2016
只是一个简单的问题:
在 Active Directory 中为系统管理员(包括域控制器管理员)创建专用 OU 是否有意义?这种方法有缺点吗?有没有好的做法?
正如在其他回复中指出的那样,它对 GPO 链接很有用——尽管我永远不会仅为此目的而更改此配置。
另请注意,Active Directory 确实具有“保护措施(adminSDHolder 和 sdProp)以防止控制委派活动损害特权帐户”,但此保护措施仅处理受保护组(域)的成员(直接或间接)的用户帐户管理员、服务器操作员、帐户操作员、备份操作员等;完整列表在这里:https : //docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/附录-c--protected-accounts-and-groups-in-active-directory)。我建议 sdProp 过程 - 虽然有益 - 只是 Active Directory 安全的一层保护,并且不足以作为保护敏感安全主体的唯一层。
虽然这是 Active Directory 的一个重要功能,但问题是如果遵循(有时,模糊不清的)最佳实践,这些组将大部分是空的。此外,通过选择遵循最佳实践,必须创建多个自定义组并用于保护环境中的不同访问权限 - 对工作站具有管理员访问权限的组,对服务器具有管理员访问权限的组,对 Exchange 具有管理员访问权限的组,组对虚拟化环境具有管理员访问权限,对共享文件系统具有管理员访问权限的组,对其他应用程序和其他 LDAP 集成应用程序、服务和设备具有管理员访问权限的组;被委派访问 Active Directory 本身的组。
一些这些群体应该被视为多崇敬的“域管理员”或在链接中详述的其他群体的-和SDPROP / adminSDHolder的并没有支持其他群体的融入-在我最后一次检查只是(排除) 4 个预定义组。
为了正确且轻松地实现对这些组的管理委派,这些组应保存在单独的 OU 中,可以委派访问该 OU,也可以保留默认设置,域管理员保留修改组成员资格的唯一访问权限。由于此 OU 本质上是保护所讨论的组所必需的,因此从逻辑上讲,这些组的成员(各种用户的专用二级、三级甚至四级管理帐户)也应存在于该位置。
真正的答案(tm) 类似于:呃-- 也许,这取决于您要完成的任务。请告诉我们更多关于为什么你对这样做的,我们可以给你一个更具体的答案的思维。你想实际完成什么?
我所知道的没有具体的最佳实践。Active Directory 有一个保护措施(adminSDHolder和sdProp)来防止控制委托活动损害特权帐户。只需将特权帐户放入 OU,您就不会面临开放“域管理员”或其他特权组成员资格的重大风险。
如果您只是为了视觉组织而这样做,您应该阅读“Active Directory 用户和计算机”中使用查询的内容。您可以创建几乎任何您能想到的外观的 Active Directory 对象的“视图”。
如果您的目标超出了视觉范围,那么您需要考虑各种问题。
Active Directory 域分区的物理结构(OU 结构)的最佳结构是首先促进控制委派,然后是组策略部署。
如果这种建议的分离是基于控制委托问题,那么您最好阅读adminSDHolder、sdProp以及特权帐户的权限如何在 AD 中工作。
如果您正在谈论控制组策略应用程序,那么当然,将帐户放在一个 OU 中。(哎呀,把它们一分为二。)还有一个“这取决于你要完成什么”的组件,也是。您是否正在寻找一种简单的方法来为一类用户隔离用户组策略?使用组成员身份过滤 GPO 可能会完成您正在寻找的相同的事情,并且可以防止您需要通过链接多个位置的公共 GPO(或者更糟的是,在多个 GPO 中复制相同设置)来“重复自己”。
您的问题的性质让我认为您可能应该查看一些 Active Directory 设计文档(例如https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/ad- ds-design-and-planning),也是。
| 归档时间: |
|
| 查看次数: |
1129 次 |
| 最近记录: |