提高活动目录安全三种方法

申请免费试用、咨询电话：400-8352-114

活动目录（AD）结构和结构中的数据是Windows域中最为关键的部分，执行恰当的安全和授权措施是非常必要的。Mike Mullins介绍了三个可以增进AD安全的简单步骤。

活动目录的结构以及结构中的数据是Windows域中最为关键的部分。如果不在活动目录中采取一些适当的保护和授权措施，你可能会错误地授权给其它用户，授予的权限可能会超过他们实际需要的权限。

AD结构是不能容忍这类错误的，一次不小心的错误授权可能会导致整个域的全部重建。这就是为什么需要采取三个简单的步骤（即设计，授权和审核）以更好地保护AD程序是如此的重要。

设计
首先，设计公司部门结构。其次，用图表创建自己的组织单元（Organizational Units，OUs），并建立一个代表公司实际情况的名字。

这样做可谓为一箭双雕。首先：设计并命名你自己的OUs，你可以给所有的用户、用户群和所有的硬件创建一个合理的空间。通过组策略编辑器(Group Policy Editor)，可以简化这些项目的管理，使系统管理变得相当容易。

此外，创建自己的OUs。你可以根据不同类型的OU制定你自己的安全规则。这是非常重要的，因为使用企业单元中默认许可建成的AD不能像默认许可规定一样进行严格执行。

授权
管理AD域是一项艰巨的任务，不应该让同一个人或者同一个帐户负责所有的事情。授予一个帐户太多权限将引起灾难后果。如果黑客得到一个帐户，或者负责人辞职（或者是产生不满情绪的时候），那么整个域将会处于危险之中。

因此，你的AD程序应该包括两种类型的管理员：数据管理员(Data Administrator)和服务管理员(Service Administrator)。这有助于权限分担，以提高程序的安全性。

数据管理员
数据管理员负责保护存储在活动目录中的信息，而不负责文件和文件夹的管理。数据管理员负责用户帐号、计算机帐户、用户群帐户等。这类数据管理员类似于NT域中的Account Operators群。

由于活动结构需要控制所有的计算机，实质上，与内部网络相连的每台计算机都是域的一个部分。而且，在安全域内的计算机不能控制所有其它的设备。

为数据管理员创建一个帐户和群组时，仅仅给他们分配内管理OUs控制范围所必需的权限。此外，必须确保不给这些帐户授予浏览网络或阅读电子邮件的权限。

另外，不要允许数据管理员为其他的数据管理员创建账号。这件事应当由服务管理原来负责。以上这些步骤填补了一些巨大的安全隐患，使帐户拥有者们在使用帐户时仅仅能够执行所允许的操作。

服务管理员
服务管理员则负责每日的幕后管理和维护。他们还需要管理域所提供给用户的不同类型的服务。这些服务包括域名称系统（DNS）、全局目录（GC）服务器、通过分布式文件系统（DFS）复制数据、企业网络森林中的域控制器（DC）和各种站点，以及同其他域的信任关系。当然，最重要的还是活动目录计划（AD schema）。

服务管理员的角色拥有强大的权力，因此你应当为部门中最富经验和知识的技术人员保留这一职位。需要记住，尽管这些管理员拥有者比数据管理员更多的权限，他们执行的操作还是需要进行详细的审查。

审计
没有哪个活动目录的部署是完全抛开审计对象或事件来实施的。审计是管理过程中的重要部分，而并不仅仅用来判断域安全策略是否实施成功的手段。

此外，审计还是检查和平衡两类管理员权限的主要手段。在需要确定应当进行什么样的安全策略改变以及由谁来实施的时候，审计是你的首选方法。

总结
在加强活动目录安全性方面，微软已经进行了大量的研究。但问题是绝大部分的用户在安装域的时候就缺乏正确的安全规划，使得他们最后不得不花上大量时间来修补出现的问题。

请记住：规划，授权，还有审计。

来源：ZDNET