當前位置:工程項目OA系統(tǒng) > 泛普各地 > 遼寧OA系統(tǒng) > 沈陽OA系統(tǒng) > 沈陽OA快博
提高活動目錄安全三種方法
活動目錄(AD)結構和結構中的數(shù)據(jù)是Windows域中最為關鍵的部分,執(zhí)行恰當?shù)陌踩褪跈啻胧┦欠浅1匾?。Mike Mullins介紹了三個可以增進AD安全的簡單步驟。
|
活動目錄的結構以及結構中的數(shù)據(jù)是Windows域中最為關鍵的部分。如果不在活動目錄中采取一些適當?shù)谋Wo和授權措施,你可能會錯誤地授權給其它用戶,授予的權限可能會超過他們實際需要的權限。
AD結構是不能容忍這類錯誤的,一次不小心的錯誤授權可能會導致整個域的全部重建。這就是為什么需要采取三個簡單的步驟(即設計,授權和審核)以更好地保護AD程序是如此的重要。
設計
首先,設計公司部門結構。其次,用圖表創(chuàng)建自己的組織單元(Organizational Units,OUs),并建立一個代表公司實際情況的名字。
這樣做可謂為一箭雙雕。首先:設計并命名你自己的OUs,你可以給所有的用戶、用戶群和所有的硬件創(chuàng)建一個合理的空間。通過組策略編輯器(Group Policy Editor),可以簡化這些項目的管理,使系統(tǒng)管理變得相當容易。
此外,創(chuàng)建自己的OUs。你可以根據(jù)不同類型的OU制定你自己的安全規(guī)則。這是非常重要的,因為使用企業(yè)單元中默認許可建成的AD不能像默認許可規(guī)定一樣進行嚴格執(zhí)行。
授權
管理AD域是一項艱巨的任務,不應該讓同一個人或者同一個帳戶負責所有的事情。授予一個帳戶太多權限將引起災難后果。如果黑客得到一個帳戶,或者負責人辭職(或者是產生不滿情緒的時候),那么整個域將會處于危險之中。
因此,你的AD程序應該包括兩種類型的管理員:數(shù)據(jù)管理員(Data Administrator)和服務管理員(Service Administrator)。這有助于權限分擔,以提高程序的安全性。
數(shù)據(jù)管理員
數(shù)據(jù)管理員負責保護存儲在活動目錄中的信息,而不負責文件和文件夾的管理。數(shù)據(jù)管理員負責用戶帳號、計算機帳戶、用戶群帳戶等。這類數(shù)據(jù)管理員類似于NT域中的Account Operators群。
由于活動結構需要控制所有的計算機,實質上,與內部網(wǎng)絡相連的每臺計算機都是域的一個部分。而且,在安全域內的計算機不能控制所有其它的設備。
為數(shù)據(jù)管理員創(chuàng)建一個帳戶和群組時,僅僅給他們分配內管理OUs控制范圍所必需的權限。此外,必須確保不給這些帳戶授予瀏覽網(wǎng)絡或閱讀電子郵件的權限。
另外,不要允許數(shù)據(jù)管理員為其他的數(shù)據(jù)管理員創(chuàng)建賬號。這件事應當由服務管理原來負責。以上這些步驟填補了一些巨大的安全隱患,使帳戶擁有者們在使用帳戶時僅僅能夠執(zhí)行所允許的操作。
服務管理員
服務管理員則負責每日的幕后管理和維護。他們還需要管理域所提供給用戶的不同類型的服務。這些服務包括域名稱系統(tǒng)(DNS)、全局目錄(GC)服務器、通過分布式文件系統(tǒng)(DFS)復制數(shù)據(jù)、企業(yè)網(wǎng)絡森林中的域控制器(DC)和各種站點,以及同其他域的信任關系。當然,最重要的還是活動目錄計劃(AD schema)。
服務管理員的角色擁有強大的權力,因此你應當為部門中最富經(jīng)驗和知識的技術人員保留這一職位。需要記住,盡管這些管理員擁有者比數(shù)據(jù)管理員更多的權限,他們執(zhí)行的操作還是需要進行詳細的審查。
審計
沒有哪個活動目錄的部署是完全拋開審計對象或事件來實施的。審計是管理過程中的重要部分,而并不僅僅用來判斷域安全策略是否實施成功的手段。
此外,審計還是檢查和平衡兩類管理員權限的主要手段。在需要確定應當進行什么樣的安全策略改變以及由誰來實施的時候,審計是你的首選方法。
總結
在加強活動目錄安全性方面,微軟已經(jīng)進行了大量的研究。但問題是絕大部分的用戶在安裝域的時候就缺乏正確的安全規(guī)劃,使得他們最后不得不花上大量時間來修補出現(xiàn)的問題。
請記住:規(guī)劃,授權,還有審計。
來源:ZDNET
- 1ROST:內核層的安全屏障
- 2智能布線管理系統(tǒng)走上臺前
- 3災難恢復:你準備好了嗎?
- 42006年影響全球商業(yè)的技術是什么?
- 5數(shù)據(jù)管理技術發(fā)展的三個階段
- 6安全什么是“主動”的真義
- 7沈陽泛普OA軟件可以定義各種樣式的報表
- 8Linux系統(tǒng)管理技巧大薈萃
- 9三方面優(yōu)化接入策略
- 10CMM通過信息化實現(xiàn)跨越式發(fā)展
- 11軟件開發(fā)人員年度調查
- 12沈陽辦公自動化系統(tǒng)OA哪家公司的比較不錯?
- 13TOC的主要技術工具
- 14全新的業(yè)務連續(xù)性思路
- 15小心撥號連接欺騙
- 16信息的液態(tài)生存遐想
- 17VPN技術在電力系統(tǒng)中的應用
- 18警惕按鍵記錄設備
- 19分配明確的權限,做到專職專用,實現(xiàn)集團oa的個性化應用
- 20談項目管理和軟件測試過程(三)
- 21基于并行制造執(zhí)行系統(tǒng)的工具管理
- 22信息技術應用之Web服務最佳實踐之路
- 23談項目管理和軟件測試過程(四)
- 24OA軟件可在多個崗位賬號中選定一個主賬號
- 25龍盛集團對信息系統(tǒng)的安全性應用可見一斑
- 26IT架構的第三條道路
- 27第四代分布式控制系統(tǒng)(DCS)
- 28通信軟件開源之路
- 292006年服務器技術展望
- 30網(wǎng)友觀點:國內CMS內容管理系統(tǒng)技術分析總結
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓