为两个受信任的Active林管理特权管理组的正确方法?
为两个受信任的Active林管理特权管理组的正确方法?
提问于 2018-05-11 13:19:24
设想如下:
有两个域(DomA和DomB)具有信任关系。这种关系是广泛的,但DomA可以访问DomB中的资源,但是DomB中的用户不应该访问DomA。
在域A中,有默认组:域管理员和企业管理员。域管理员只应该是DomA中的管理员,而不是DomB中的管理员。企业管理员将是两个域中的管理员。通过将DomA企业管理员组添加到DomB中的内置管理员组中,解决了企业管理员的问题,使该组中的用户可以在没有问题的情况下从域A管理域B。但这里有一个大的安全漏洞:
域A域管理员可以将自己添加到域A企业管理员组中,也可以成为域B的管理员。
有办法确保这些东西的安全吗?
回答 1
Server Fault用户
发布于 2018-05-11 14:59:58
您的解决方案是在DomB中为来自DomA的选定用户创建专用管理帐户,以用于管理DomB。
这防止了DomA中的妥协影响到DomB,也阻止了那些需要DomA中的域管理访问的人获得对DomB的访问。
现在,你可以
- 创建一个新的安全组"DomB Admins“或一些东西(在DomA中没有特权访问)可以用于在DomB中委派必需的访问。
- 您可以通过对ACL进行适当的修改来保护组"DomB Admins“,以防止DomA\Domain修改组成员资格。
无可否认,这第二个选项有点毫无意义,因为域管理员将能够更改该组中的ACL。如果新组受到域管理修改的保护,域管理可以获得组的所有权并更改ACL。
从理论上讲,这种关注应该是相对没有根据的,因为只有绝对需要域管理访问的用户才应该是域管理员组的成员(稍后将详细介绍)。此外,行政小组的修改应受到监测、审查和审计。
因此,就目前存在的情况而言,您最大的安全漏洞是,您在域管理员组中有可能不属于(您的问题)的帐户。你的第二大安全漏洞将是这样一个事实:一个森林的妥协会自动地损害第二个森林。
当您发现自己在问“如何限制域管理访问”或“如何保护资源不受域管理员修改”时,就会出现错误配置。因为它们不是被设计成有限的。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/911771
复制相关文章
相似问题
腾讯云开发者
