以下内容是摘自笔者编著,最新出版的《网管员必读——网络安全》(第2版)一书。

 

10.3.1   A ctive Directory边界

    创建Active Directory基础结构时,必须小心斟酌环境的安全边界。如果充分规划组织的安全委派和实施计划,组织就可以获得一个更安全的Active Directory设计。如果环境发生了重大变化,例如合并或重组,则只需对设计结构重新调整。
Active Directory中有几种不同的边界类型。这些边界定义了林、域、站点拓扑结构以及权限委派,当安装Active Directory时,它们会自动建立。但是,必须确保在权限边界中加入组织要求和策略。管理权限委派相当灵活,可以适应不同组织的要求。例如,要在安全和管理功能之间维持适当的平衡,你可以在安全边界和管理边界之间划分权限委派边界。

1安全边界

    安全边界可帮助定义组织内部不同组的自主或隔离。很难在足够的安全(基于组织的业务边界的建立方法)和维持一致的基础功能级别的需要之间进行平衡。为了成功实现此平衡,必须针对委派管理权限的安全隐患和其他涉及环境的网络结构选择,权衡组织所面临的威胁。
林是用户的网络环境的真正安全边界。建议创建单独的林以保持环境的安全,防止来自其他域的管理员的潜在破坏。此方法也有助于确保在一个林遭到破坏时,不会自动导致整个企业遭到破坏。
域是Active Directory的管理边界,而不是安全边界。如果组织成员都是善意的,域边界将提供对组织的每个域内的服务和数据进行自助管理。很遗憾,对于安全而言,实现隔离并不简单。例如,域不能完全隔离恶意域管理员的***。这种隔离只能在林级实现。
在域中,组织单位(OU)提供了另一级别的管理边界。OU提供了一种灵活方法对相关资源进行分组,并将管理访问权限委派给合适的人员,但不向他们提供管理整个域的能力。
类似域,OU并非真正的安全边界。虽然你可以给OU分配权限,但是同一域中的所有OU都将针对域和林资源对资源进行身份验证。而且,良好设计的OU层次结构有助于开发、部署和管理有效的安全措施。
用户的组织可能需要考虑在当前的Active Directory设计中划分服务和数据的管理控制。有效的Active Directory设计要求完全了解组织对服务自主和隔离以及数据自主和隔离的要求。

2管理边界

因为可能需要对服务和数据进行分段,所以必须定义不同的必需管理级别。除了那些可能为用户的组织执行特有服务的管理员之外,还建议考虑以下类型的管理员(不过一般企业中是没有专门的这些管理员的)。
1)服务管理员
Active Directory服务管理员负责配置和传送目录服务。例如,服务管理员维护域控制器服务器、控制目录级别的配置设置以及确保服务可用性。应该考虑让组织中的Active Directory管理员成为你的服务管理员。
Active Directory服务配置通常由属性值确定。这些属性值与其各自存储在目录中的对象的设置相对应。因此,Active Directory中的服务管理员也是数据管理员。组织需求可能需要用户在Active Directory服务设计中考虑其他服务管理员组。包括以下几方面内容。
n         域管理组,主要负责目录服务。
林管理员选择组来管理每个域。由于每个域的管理员被授予高级访问权限,所以这些管理员应该是高度受信任的个人。域管理员通过Domain Administrators组和其他内置组来控制域。
n         管理DNS的管理员组。
DNS管理员组完成DNS设计和管理DNS基础结构。DNS管理员通过DNS Administrators组来管理DNS基础结构。
n         管理OU的管理员组。
OU管理员负责指定各OU的管理者(组或个人)。每个OU管理员管理存储在分配的Active Directory OU中的数据。这些组可控制如何委派管理,如何将策略应用于OU中的对象。OU管理员还可以创建新子树并委派他们负责的OU的管理。
n         管理基础结构服务器的管理员组。
负责基础结构服务器管理的组管理WINSDHCP并潜在管理DNS基础结构。在某些情况下,处理域管理的组将管理DNS基础结构,原因是Active Directory已与DNS集成并在域控制器上存储和管理。
2)数据管理员
Active Directory数据管理员管理存储在Active Directory或加入至Active Directory中的计算机上的数据。这些管理员不能控制目录服务的配置和传送。数据管理员是由组织设立的安全小组的成员。有时,Windows的默认安全组并不清楚组织的所有情况。此时,组织可开发自己的安全组命名标准和意义,最大程度地满足环境的需要。数据管理员的部分日常工作包括以下几方面内容。
n         控制目录中的对象子集:通过可继承的属性级别访问控制,数据管理员可被授予对目录中非常具体的部分的控制权,但是无法控制服务本身的控制。
n         管理目录中的成员计算机以及那些计算机上的数据。在许多情况下,存储在目录中的对象的属性值确定目录的服务配置。
总之,若要允许Active Directory服务和目录结构的所有者加入林或域基础结构,组织就必须信任林和所有域中的所有服务管理员。此外,企业安全计划必须开发标准策略和程序以便针对管理员执行适当的背景检查。