Conta somente leitura do AD (para autenticação)

Navegue suas respostas
2

Tenho experiência com administração de servidores Linux, no entanto, quando se trata de Windows, sou praticamente um novato.

Eu tenho muitos aplicativos de terceiros que usam uma conta de administrador do AD para executar sua autenticação no Active Directory corporativo. No total, encontrei mais de 40 contas de administrador, o que, do ponto de vista da regulamentação de conformidade, é uma bandeira vermelha!

Tenho certeza de que há uma maneira de superar essa situação. Minha intenção é ter uma conta somente pronta do AD capaz de consultar o AD Forrest e retornar ao aplicativo se o nome de usuário / senha for válido ou não. Esta conta não deve ter nenhuma gravação.

Qual é a sua recomendação para este tipo de situações?

    
por Andre 27.04.2014 / 16:43

2 respostas

4

Primeiro, quando você diz 40 contas no nível do administrador, presumo que você seja o administrador do domínio. 40 desses tipos de contas são perigosos por tantas razões que eu tenho certeza que você já pode adivinhar. O que eu recomendaria como a primeira coisa a fazer seria abrir os grupos Administrador de Domínio, Administrador de Empresa e Administrador de Esquema no Active Directory. Abrir esses grupos permitirá que você selecione uma guia chamada Membros para ver realmente quantas pessoas estão em cada grupo. Os três que eu nomeei (administrador de domínio, administrador corporativo e administrador de esquema) são os mais importantes e permitem o máximo controle sobre seu domínio / floresta, portanto, você deve certificar-se de que apenas você como administrador de sistema e talvez alguns outros que administradores, ou que você confia, tem esses direitos. Eu diria apenas você, mas sei que às vezes há circunstâncias em que você precisa ter outros que obtêm esses direitos; raramente, mas acontece. Aqui está uma captura de tela das propriedades do administrador do domínio para referência:

Apróximacoisaquevocêdesejaráfazer,desdequevocêprecisedeumaconta,oucontas,paraessesaplicativosdeterceirossecomunicarem/autenticarematravésdoAD,seriacriarumacontadeserviçogerenciadaouMSA.EuuseiessascontasepossodizerqueeuachoquequandosetratadequeelessãosuperioresaapenasusandoumacontadeusuárioregularnoAD.Evitedaraqualquerusuárionãoadministrador/administradordecontadireitosatodocusto.

OqueeugostariadefazereterfeitoécriarumanovaUOnoADUCparaessascontasdeserviço,paraqueelassejamfacilmentegerenciadasepossamtercertascoisascomoGPOs(ObjetosdeDiretivadeGrupo,sevocênãosabe,sãomaneirasdegerenciarnúmeromassivodecomputadores/usuários)aplicadoaelesdemaneiramuitomaisfácil,senecessário.

VocêpodecriaregerenciaressesMSAsatravésdoWindowsPowerShell,mascertifique-sedeestar,pelomenos,naversão2doPowerShell.OcomandoparacriarumadessascontasésimplesmenteAdd-ADComputerServiceAccount.Quaisqueroutrasopçõescomasquaisvocêdesejacriaresseusuáriopodemserencontradas aqui

Outra coisa boa sobre os MSAs é que você pode criar os chamados Administradores de Serviço (efetivamente pessoas no AD com permissões para gerenciar essas contas do MSA) que podem ter controle de delegação sobre essas contas. Isso pode ser bom para você, já que essa pessoa não precisa ter direitos de administrador de domínio e, no longo prazo, pode economizar tempo, já que eles podem gerenciar as contas do MSA, o que lhe dá mais tempo para coisas mais importantes.

Para obter uma lista de práticas recomendadas para o MSA, consulte este post diretamente da equipe do MS Directory Services.

    
por 27.04.2014 / 18:06
4

Basta criar uma conta de usuário que seja membro do grupo de usuários do domínio. Essa conta não terá permissões de gravação nos outros objetos do diretório, exceto por si.

Se você precisar de mais algumas contas de serviço avançadas, o Windows 2008 R2 tem algo chamado de Contas de serviço gerenciadas. Eu nunca usei eles, mas não vai doer dar uma olhada neles:

link

link

Espero que ajude;)

    
por 27.04.2014 / 16:53

Tags

Captura primeiro pacote de conexão TCP estabelecida com o iptables? Como evitar que https: // seja acessível de domínios sem um certificado?