提高活動目錄安全三種方法

申請免費試用、咨詢電話：400-8352-114

活動目錄（AD）結構和結構中的數(shù)據(jù)是Windows域中最為關鍵的部分，執(zhí)行恰當?shù)陌踩褪跈啻胧┦欠浅１匾?。Mike Mullins介紹了三個可以增進AD安全的簡單步驟。

活動目錄的結構以及結構中的數(shù)據(jù)是Windows域中最為關鍵的部分。如果不在活動目錄中采取一些適當?shù)谋Ｗo和授權措施，你可能會錯誤地授權給其它用戶，授予的權限可能會超過他們實際需要的權限。

AD結構是不能容忍這類錯誤的，一次不小心的錯誤授權可能會導致整個域的全部重建。這就是為什么需要采取三個簡單的步驟（即設計，授權和審核）以更好地保護AD程序是如此的重要。

設計
首先，設計公司部門結構。其次，用圖表創(chuàng)建自己的組織單元（Organizational Units，OUs），并建立一個代表公司實際情況的名字。

這樣做可謂為一箭雙雕。首先：設計并命名你自己的OUs，你可以給所有的用戶、用戶群和所有的硬件創(chuàng)建一個合理的空間。通過組策略編輯器(Group Policy Editor)，可以簡化這些項目的管理，使系統(tǒng)管理變得相當容易。

此外，創(chuàng)建自己的OUs。你可以根據(jù)不同類型的OU制定你自己的安全規(guī)則。這是非常重要的，因為使用企業(yè)單元中默認許可建成的AD不能像默認許可規(guī)定一樣進行嚴格執(zhí)行。

授權
管理AD域是一項艱巨的任務，不應該讓同一個人或者同一個帳戶負責所有的事情。授予一個帳戶太多權限將引起災難后果。如果黑客得到一個帳戶，或者負責人辭職（或者是產生不滿情緒的時候），那么整個域將會處于危險之中。

因此，你的AD程序應該包括兩種類型的管理員：數(shù)據(jù)管理員(Data Administrator)和服務管理員(Service Administrator)。這有助于權限分擔，以提高程序的安全性。

數(shù)據(jù)管理員
數(shù)據(jù)管理員負責保護存儲在活動目錄中的信息，而不負責文件和文件夾的管理。數(shù)據(jù)管理員負責用戶帳號、計算機帳戶、用戶群帳戶等。這類數(shù)據(jù)管理員類似于NT域中的Account Operators群。

由于活動結構需要控制所有的計算機，實質上，與內部網(wǎng)絡相連的每臺計算機都是域的一個部分。而且，在安全域內的計算機不能控制所有其它的設備。

為數(shù)據(jù)管理員創(chuàng)建一個帳戶和群組時，僅僅給他們分配內管理OUs控制范圍所必需的權限。此外，必須確保不給這些帳戶授予瀏覽網(wǎng)絡或閱讀電子郵件的權限。

另外，不要允許數(shù)據(jù)管理員為其他的數(shù)據(jù)管理員創(chuàng)建賬號。這件事應當由服務管理原來負責。以上這些步驟填補了一些巨大的安全隱患，使帳戶擁有者們在使用帳戶時僅僅能夠執(zhí)行所允許的操作。

服務管理員
服務管理員則負責每日的幕后管理和維護。他們還需要管理域所提供給用戶的不同類型的服務。這些服務包括域名稱系統(tǒng)（DNS）、全局目錄（GC）服務器、通過分布式文件系統(tǒng)（DFS）復制數(shù)據(jù)、企業(yè)網(wǎng)絡森林中的域控制器（DC）和各種站點，以及同其他域的信任關系。當然，最重要的還是活動目錄計劃（AD schema）。

服務管理員的角色擁有強大的權力，因此你應當為部門中最富經(jīng)驗和知識的技術人員保留這一職位。需要記住，盡管這些管理員擁有者比數(shù)據(jù)管理員更多的權限，他們執(zhí)行的操作還是需要進行詳細的審查。

審計
沒有哪個活動目錄的部署是完全拋開審計對象或事件來實施的。審計是管理過程中的重要部分，而并不僅僅用來判斷域安全策略是否實施成功的手段。

此外，審計還是檢查和平衡兩類管理員權限的主要手段。在需要確定應當進行什么樣的安全策略改變以及由誰來實施的時候，審計是你的首選方法。

總結
在加強活動目錄安全性方面，微軟已經(jīng)進行了大量的研究。但問題是絕大部分的用戶在安裝域的時候就缺乏正確的安全規(guī)劃，使得他們最后不得不花上大量時間來修補出現(xiàn)的問題。

請記住：規(guī)劃，授權，還有審計。

來源：ZDNET