Разделение нагрузки — безопасно

Опубликовано: 6 Апреля, 2023

Введение

В Active Directory всегда было встроено делегирование. Делегирование, встроенное в Active Directory, в первую очередь предназначено для того, чтобы дать администраторам домена возможность предоставить администраторам, не являющимся доменами, контроль над очень подробными аспектами Active Directory и объектами, хранящимися в нем. Я написал много статей об этих возможностях, которые можно увидеть по следующим ссылкам:

  • http://www.windowsecurity.com/articles-tutorials/windows_os_security/Windows-Administrative-Delegation-Techniques.html
  • http://www.windowsecurity.com/articles-tutorials/windows_os_security/verifying-active-directory-delegation-accurate.html
  • http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Implementing-Active-Directory-Delegation-Administration.html
  • http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Built-in-Groups-Delegation.html
  • http://www.windowsecurity.com/articles-tutorials/Windows_Server_2012_Security/video-configuring-verifying-and-removing-active-directory-delegations-part-1.html
  • http://www.windowsecurity.com/articles-tutorials/Windows_Server_2012_Security/video-configuring-verifying-and-removing-active-directory-delegations-part-2.html

Все приведенные выше ссылки должны дать любому представление о том, как работают делегирования, какие делегирования возможны, и о том, как создаются делегирования. Итак, вот несколько рекомендаций по использованию делегирования Майкрософт в Active Directory.

  1. Делегирование — это изменение разрешений на объекты в Active Directory.
  2. Делегирование предоставляется с помощью мастера делегирования в Active Directory Users and Computers.
  3. Делегирование может быть предоставлено, но не удалено с помощью мастера делегирования в Active Directory Users and Computers.
  4. Большинство делегаций следует выполнять на уровне организационного подразделения, тогда наследование разрешений будет фильтровать структуру Active Directory.
  5. Делегирование должно быть предоставлено группам, а не учетным записям пользователей, чтобы обеспечить согласованные методы безопасности.
  6. Наиболее распространенными видами делегирования являются сброс паролей для учетных записей пользователей, присоединение компьютеров к домену, перемещение компьютеров в организационное подразделение и изменение членства в группе.
  7. Делегирование можно проверить с помощью встроенной команды DSACLS.

Использование делегирования

Я обнаружил, что большинство администраторов пытались использовать модель делегирования Майкрософт, но обнаруживали, что реализация этой технологии сложнее, чем они предполагали, поэтому отказывались от этой задачи. Причина такой сложности реализации заключается в том, что инструмент «Пользователи и компьютеры Active Directory» не работает с установленным делегированием. Под этим я подразумеваю, что Active Directory Users and Computers не изменяет динамически возможности инструмента в зависимости от вошедшего в систему пользователя. Это означает, что пользователь увидит все объекты, меню, команды и возможности инструмента «Пользователи и компьютеры Active Directory», даже если он не может использовать эти параметры. Если бы пользователи и компьютеры Active Directory динамически отображали только те команды и меню, которые предоставляются через делегирование, этот инструмент был бы очень полезен для делегирования.

Решение, которое Microsoft предоставляет для делегирования, заключается в создании представлений панели задач. Я обнаружил, что менее 25% всех администраторов хотя бы слышали об этой технологии, и менее 25% из них даже пытались ее создать. Я настоятельно рекомендую вам не тратить свое время впустую, так как они не дружелюбны, очень ручны и управленческий кошмар для контроля.

Итак, в конце концов, есть возможность устанавливать, а не удалять делегирование. Также нет реального интерфейса для использования того, что было делегировано.

Желаемая делегация

При рассмотрении того, что желательно для делегирования, я буду полагаться на то, что я знаю об обслуживании рабочего домена Active Directory, на вклад моих студентов за многие годы и на отзывы других администраторов за эти годы. При рассмотрении делегирования есть несколько факторов, которые все администраторы хотят и должны обеспечить, чтобы реализация делегирования прошла успешно.

  1. Делегирование должно быть простым в настройке.
  2. Текущие делегации должны быть легко видны.
  3. Делегации должны легко удаляться.
  4. Делегации должны быть отчетными для безопасности и аудита.
  5. Делегации должны быть гранулированными, чтобы управлять отдельными свойствами объектов.
  6. Делегирование должно быть представлено делегированному пользователю в простом и понятном формате.
  7. В идеале делегирование должно выходить за рамки простого сброса паролей учетных записей пользователей, присоединения компьютеров к домену, перемещения компьютеров в организационные подразделения и изменения членства в группах.
  8. Делегирование должно быть динамическим в инструменте, который просматривает делегированный пользователь, чтобы все делегирования отображались в используемом инструменте.
  9. Делегирование должно быть настраиваемым, чтобы некоторые свойства были обязательными и предопределенными, тогда как другие были обязательными и настраивались техническим специалистом.

Концепции и возможности делегирования

Вот список некоторых концепций и возможностей, которые, по моему мнению, нужны большинству администраторов и специалистов по поддержке настольных систем. Цель состоит в том, чтобы «команда» администраторов и технических специалистов работала вместе для управления Active Directory, объектами и свойствами объектов.

— это задача, которая нужна всем компаниям и уже так или иначе реализована. Однако существуют определенные аспекты этого процесса, которые следует учитывать при выборе желаемого решения.

  • Самостоятельный сброс пароля
  • Генерация случайного пароля, поэтому технический специалист не знает временный пароль
  • Безопасная передача временного или нового пароля конечному пользователю
  • Более строгая политика паролей, превосходящая встроенную политику паролей Microsoft.

— типичное делегирование, которое позволяет техническим специалистам, устанавливающим компьютеры, присоединять компьютер к домену.

— ключевое делегирование, требующее глубоких знаний Active Directory и групповой политики. Ошибочное перемещение компьютера в организационную единицу может подвергнуть компьютер, данные на компьютере или даже сеть атаке. Это связано с тем, что часто безопасность реализуется с помощью групповой политики, которая отключается в зависимости от того, где находится компьютер в Active Directory.

— делегирование, которое используется недостаточно часто, но должно быть. Во многих организациях именно менеджеры и менеджеры проектов определяют членство в группах, а администраторы реализуют конфигурации. Делегируя эту задачу менеджерам и менеджерам проектов, членство в группе может поддерживаться владельцем, а нагрузка по управлению снимается с администраторов. Дополнительные концепции, которые следует учитывать, включают:

  • Контроль над тем, какие объекты могут быть добавлены в группу (пользователи, группы, компьютеры)
  • Контроль над тем, какие пользователи могут быть добавлены в группу
  • Контроль над тем, какие группы могут быть добавлены в группу
  • Контроль над тем, какие объекты могут быть удалены из группы
  • Контроль удаления группы

. Это делегирование возможно сегодня, но детальных возможностей нет. В идеале учетные записи пользователей должны создаваться с использованием шаблона, который диктует необходимые свойства для каждого нового пользователя.

. Это делегирование подпадает под эффективность и организацию. В идеале список имен пользователей и их свойств должен иметь возможность импортироваться в Active Directory вместе с шаблоном, чтобы обеспечить правильную настройку свойств пользователей.

. Существуют некоторые свойства учетной записи пользователя по умолчанию, которые являются обязательными, но должны быть дополнительные элементы управления, чтобы принудительно создавать учетные записи пользователей с определенными обязательными свойствами. Это обеспечит последовательное и стабильное создание и использование учетной записи пользователя.

. Почти во всех средах Active Directory требуется, чтобы некоторые свойства были настроены для обеспечения работы сценариев и приложений. Ключевым моментом является возможность автоматического определения некоторых свойств для каждого пользователя. Кроме того, эти конфигурации должны иметь возможность быть видимыми или скрытыми пользователем, создающим учетную запись, для простоты связи или безопасности.

Резюме

Взять то, что дает вам Microsoft, и просто работать с этими ограничениями, может быть очень сложно. Существует множество способов повысить производительность, безопасность и эффективность с помощью делегирования и других концепций, таких как шаблоны. Рассмотрение этих параметров может сделать ваше общее администрирование намного быстрее и проще, не говоря уже о большей безопасности и стабильности. Для примера некоторых из этих концепций ознакомьтесь с этими блогами.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023