Adicione uma conta de um domínio confiável aos administradores de domínio

Navegue suas respostas
2

Nosso domínio confia em um domínio externo (não na mesma floresta) e precisamos adicionar um grupo do domínio externo ao grupo Domain Admins do nosso domínio.

Entendo que o grupo Domain Admins é um grupo global , por isso não podemos adicionar grupos de outros domínios a ele. Mas tenho visto várias soluções alternativas na internet, mas nenhuma delas parece funcionar em nossa situação.

Eu tentei criar um grupo universal e um grupo local de domínio, mas não posso adicionar nenhum deles ao grupo Domain Admins e somente ao domínio Local grupos permite adicionar contas do domínio confiável externo.

  • Grupo de segurança global (por exemplo, Admins do domínio )

    • É possível adicionar o grupo domínio local : não
    • É possível adicionar o grupo Global : Sim
    • É possível adicionar o grupo Universal : Não
    • É possível adicionar do domínio confiável: não

  • Grupo de segurança universal (por exemplo, Administradores da empresa )

    • É possível adicionar o grupo domínio local : não
    • É possível adicionar o grupo Global : Sim
    • É possível adicionar o grupo Universal : Sim
    • É possível adicionar do domínio confiável: não

  • Grupo de segurança local do domínio (por exemplo, administradores )

    • É possível adicionar o grupo domínio local : sim
    • É possível adicionar o grupo Global : Sim
    • É possível adicionar o grupo Universal : Sim
    • É possível adicionar do domínio confiável: Sim 
               |      Group can contain members of type                 |
| Group type   | Global | Universal | Domain local | Trusted Foreigners |
|--------------|--------|-----------|--------------|--------------------|
| Global       | Yes    |           |              |                    |
| Universal    | Yes    | Yes       |              |                    |
| Domain local | Yes    | Yes       |              | Yes                |

O grupo Global Admins do domínio só pode conter outros grupos Global .

E os grupos Global não podem parecer diretamente (ou indiretamente) conter princípios de domínios estrangeiros.

Solução alternativa

Uma solução alternativa terrível pode ser:

Eu tenho um grupo que quero adicionar a todos os grupos Administradores locais em todas as máquinas no domínio:

ComopossoadicionarumgrupoaogrupoAdministradoresemtodasasmáquinasnodomínio?

Nãoépossíveltrabalhar;umgrupodomíniolocalnãopodeconteroutrosgruposdomíniolocal.

Aúnicasoluçãoqueconsigoverécriarmanualmentecontasduplicadasparacadausuárionodomíniolocal

Contras:diminuiuasegurançadarede,reduziuaprodutividadedousuário,complicouaadministração,piorouocontroleadministrativo,políticasinconsistentes,aumentouoTCO.

BónusChatter

DeEspecificaçãodeaplicativoparaoMicrosoftWindowsServer,Capítulo5.ServiçosdeSegurança:

SingleSign-On(SSO)allowsenterprisenetworkuserstoseamlesslyaccessallauthorizednetworkresources,onthebasisofasingleauthenticationthatisperformedwhentheyinitiallyaccessthenetwork.SSOcanimprovetheproductivityofnetworkusers,reducethecostofnetworkoperations,andimprovenetworksecurity.

  • Betternetworksecurity.AllSSOmethodsavailableunderWindowsprovidesecureauthenticationandprovideabasisforencryptingtheuser'ssessionwiththenetworkresource.Eliminatingmultiplepasswordsalsoreducesacommonsourceofsecuritybreaches-userswritingdowntheirpasswords.

  • Improveduserproductivity.Usersarenolongerrequiredtoremembermultiplelogons,noraretheyrequiredtoremembermultiplepasswordsinordertoaccessnetworkresources.Thisisalsoabenefittohelpdeskpersonnel,whoneedtofieldfewerrequestsforforgottenpasswords.

  • Simpleradministration.SSO-relatedtasksareperformedtransparentlyaspartofnormalmaintenance,usingthesametoolsthatareusedforotheradministrativetasks.

  • Betteradministrativecontrol.AllSSO-specificinformationisstoredinasinglerepository,theActiveDirectory.Becausethereisasingle,authoritativelistingofeachuser'srightsandprivileges,theadministratorcanchangeauser'sprivilegesandknowthattheresultswillpropagatenetworkwide.

  • Consolidationofheterogeneousnetworks.Byjoiningdisparatenetworks,administrativeeffortscanbeconsolidated,ensuringthatadministrativebestpracticesandcorporatesecuritypoliciesarebeingconsistentlyenforced.

Leituradebônus

por Ian Boyd 17.10.2018 / 19:28

2 respostas

2

É especificamente projetado para ser tão difícil. Não apenas é contrário às boas práticas, mas geralmente é mal aconselhado.

Você está essencialmente transformando o controle de seu domínio em outra entidade cuja segurança, políticas, auditoria e procedimentos estão fora de seu controle e fora dele. Além disso, seu ambiente tem pelo menos o dobro (possivelmente mais) da superfície de ataque

Existem dois métodos apropriados (do meu ponto de vista) para "alcançar" o que você está procurando

  1. Eu não aconselho usar o grupo Admins. do Domínio para esse propósito, raramente é absolutamente necessário.
  2. (Preferencial) Crie um grupo global com o acesso delegado necessário ao Active Directory, crie novas contas em seu domínio para essas pessoas estrangeiras usarem ao executar tarefas em sua estrutura do AD.
  3. (Menos preferencial) Crie um Grupo Local de Domínio com acesso delegado apropriado ao Active Directory, adicione as contas externas a este Grupo Local de Domínio. (Os Grupos Locais de Domínio são recomendados pela Microsoft para proteger o acesso a recursos [ex. ACLs / Direitos do Usuário], na verdade, para todas as coisas exceto Permissões do Active Directory [DSACLs] para evitar uma situação em que um principal estrangeiro tenha acesso a o domínio).

Se NÃO for necessário acesso administrativo ao AD (ou seja, apenas procurando gerenciar servidores / estações de trabalho / etc. ), observo que os administradores de domínio não devem ser administradores em nenhum computadores que não sejam controladores de domínio.

Contas dedicadas devem ser usadas para administrar estações de trabalho, contas dedicadas separadas devem ser usadas para administrar servidores.

Essas contas devem ser adicionadas a grupos locais de domínio personalizados que (via GPO) podem ser facilmente configurados para estar nos grupos locais de Administradores dos computadores membros apropriados. Os administradores de domínio devem ser removidos especificamente (via GPO ou outros meios) dos grupos de administradores locais em todos os servidores membros.

Resposta atualizada para acompanhar a pergunta atualizada

Use Grupos restritos de política de grupo . Por meio de um GPO que não afeta nenhum controlador de domínio, crie uma entrada para "Grupo que desejo adicionar a cada grupo local de Administradores", na entrada, na caixa "Membro de", você adicionará "Administradores". Isso garantirá que o grupo "Grupo que eu quero que seja adicionado a cada grupo local de Administradores" é adicionado ao grupo Administradores local de todos os computadores afetados pela política.

Ao trabalhar com grupos restritos e "Administradores", tenha um cuidado extra para garantir que os controladores de domínio não sejam incluídos ou afetados por essa política (por meio de delegação, filtragem de segurança, filtragem WMI ou vinculação GP apropriada).

    
por 17.10.2018 / 20:41
0

Não, você não pode usar o produto incorporado. E você geralmente não precisa fazer isso, porque os administradores de domínio obtêm quase todas as suas permissões do grupo Administradores de domínio interno. Que pode ter membros de outros domínios.

Você também deve ter um grupo administrativo separado para conceder acesso ao servidor membro / estações de trabalho.

Há um produto Microsoft Identity Manager que pode adicionar contas de uma floresta administrativa confiável a Admins. do domínio para associação de grupo baseada em tempo, mas provavelmente é mais do que você está procurando.

    
por 17.10.2018 / 20:55

Tags

A instância EC2 ficou presa no login inacessível depois de atribuir o Elastic IP e reinicializar Como identifico um processo anônimo que está alterando uma configuração do sistema?