Domínio do AD de Administração Segura

Navegue suas respostas
1

Eu tenho um projeto para proteger minha infra-estrutura do Active Directory.

Para fazer isso, um dos meus colegas me falou sobre a possibilidade de criar outro domínio AD no forrest apenas para administração. Esse é o novo domínio que contém todo o grupo de administradores para gerenciar o outro domínio que contém uma conta padrão.

Eu realmente não entendo essa solução e gostaria de ter algumas informações sobre isso, mas não encontro nada na Internet.

Alguém tem informações sobre isso?

Obrigado antecipadamente

    
por gerem 15.04.2016 / 11:11

3 respostas

1

Acho que seu colega está falando sobre um modelo de floresta que usa um domínio raiz vazio e um ou mais domínios filho. O domínio raiz armazenaria apenas o grupo Admins. De Empresa, Admins de Esquema, bem como a função FSMO do Esquema Mestre e a função de mestre de Nomeação de Domínio. O grupo de administradores da empresa terá controle total sobre o domínio filho. a ideia era proteger esses poderosos grupos de outros administradores e comprometer o potencial. seu domínio filho ainda teria os grupos padrão de administradores de domínio, bem como os grupos de operadores internos. Todas as contas de usuário padrão são criadas no domínio filho.

podem ainda ser alguns casos de uso para este modelo, mas em geral você deve tentar manter sua estrutura AD o mais simples possível, e um único modelo de domínio é o mais simples possível.

Curiosamente, o Windows Server 2016 adiciona mais proteção aos grupos de administradores.

Espero que isso ajude

    
por 15.04.2016 / 11:49
1

O que o seu colega está se referindo é algo que foi considerado uma prática aceitável há muito tempo . Isso não é mais o caso (e eu diria que era de valor duvidoso 15 anos atrás, até). Como a floresta (não o domínio) é onde está seu limite de segurança, você obtém segurança adicional muito limitada fora dessa configuração (se houver), para o qual você adiciona complexidade e tem que lidar com domínios filho, que a Microsoft não recomenda mais usar, exceto por um número muito limitado de casos (navios de cruzeiro sendo o exemplo restante de uma organização onde os domínios filho fazem sentido).

Seu colega está errado e você não deve fazer isso. Em vez disso, você deve fazer isso da maneira certa e pensar em bater na cabeça dele por sugerir uma implementação que poderia ter algum valor pequeno há 15 anos, com a versão original do Active Directory. Quanto a como fazer isso corretamente e fortalecer o Active Directory corretamente, você não forneceu informações suficientes para fazer recomendações bem informadas, exceto para dizer que a proposta do seu colega não é uma boa ideia. (Pessoalmente, eu ignoraria quaisquer sugestões adicionais de alguém que sugerisse uma raiz de floresta vazia. As pessoas que sabem o que estão falando sobre o Active Directory não sugeririam tal coisa em primeiro lugar.)

    
por 15.04.2016 / 17:27
1

Na verdade, seria mais seguro ter uma floresta de bastiões separada para contas e grupos administrativos. Você pode ler mais sobre isso aqui:

Gerenciamento de identidades privilegiadas para serviços de domínio do Active Directory (AD DS) link

Digamos que você tenha uma floresta de produção com controladores de domínio em 100 locais. E sua floresta de bastiões tem apenas controladores de domínio no seu data center principal. Se houver uma incursão com a floresta de produção, os controladores de domínio administrativo e a conta do banco de dados / krbtgt estarão menos em risco. A floresta de bastiões também tem configurações de segurança mais restritivas e você pode ter uma confiança de floresta unidirecional (a floresta de produção confia na floresta de bastiões, mas não na outra forma). Os novos recursos do PIM para associação / acesso a grupos com limite de tempo também são uma melhoria de segurança.

    
por 15.04.2016 / 17:53

Tags

Como interpretar o resultado do nmap, hospedar-se, mas nenhuma porta é aberta É obrigatório usar a Política de Grupo para instalar ou implantar aplicativos?