<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />以下內(nèi)容是摘自筆者編著，最新出版的《網(wǎng)管員必讀——網(wǎng)絡(luò)安全》（第2版）一書。

?

10.3.1 ?Active Directory邊界

??? 創(chuàng)建Active Directory基礎(chǔ)結(jié)構(gòu)時(shí)，必須小心斟酌環(huán)境的安全邊界。如果充分規(guī)劃組織的安全委派和實(shí)施計(jì)劃，組織就可以獲得一個(gè)更安全的Active Directory設(shè)計(jì)。如果環(huán)境發(fā)生了重大變化，例如合并或重組，則只需對設(shè)計(jì)結(jié)構(gòu)重新調(diào)整。 Active Directory中有幾種不同的邊界類型。這些邊界定義了林、域、站點(diǎn)拓?fù)浣Y(jié)構(gòu)以及權(quán)限委派，當(dāng)安裝Active Directory時(shí)，它們會自動建立。但是，必須確保在權(quán)限邊界中加入組織要求和策略。管理權(quán)限委派相當(dāng)靈活，可以適應(yīng)不同組織的要求。例如，要在安全和管理功能之間維持適當(dāng)?shù)钠胶?#xff0c;你可以在安全邊界和管理邊界之間劃分權(quán)限委派邊界。

1．安全邊界

??? 安全邊界可幫助定義組織內(nèi)部不同組的自主或隔離。很難在足夠的安全（基于組織的業(yè)務(wù)邊界的建立方法）和維持一致的基礎(chǔ)功能級別的需要之間進(jìn)行平衡。為了成功實(shí)現(xiàn)此平衡，必須針對委派管理權(quán)限的安全隱患和其他涉及環(huán)境的網(wǎng)絡(luò)結(jié)構(gòu)選擇，權(quán)衡組織所面臨的威脅。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

林是用戶的網(wǎng)絡(luò)環(huán)境的真正安全邊界。建議創(chuàng)建單獨(dú)的林以保持環(huán)境的安全，防止來自其他域的管理員的潛在破壞。此方法也有助于確保在一個(gè)林遭到破壞時(shí)，不會自動導(dǎo)致整個(gè)企業(yè)遭到破壞。 域是Active Directory的管理邊界，而不是安全邊界。如果組織成員都是善意的，域邊界將提供對組織的每個(gè)域內(nèi)的服務(wù)和數(shù)據(jù)進(jìn)行自助管理。很遺憾，對于安全而言，實(shí)現(xiàn)隔離并不簡單。例如，域不能完全隔離惡意域管理員的***。這種隔離只能在林級實(shí)現(xiàn)。 在域中，組織單位（OU）提供了另一級別的管理邊界。OU提供了一種靈活方法對相關(guān)資源進(jìn)行分組，并將管理訪問權(quán)限委派給合適的人員，但不向他們提供管理整個(gè)域的能力。 類似域，OU并非真正的安全邊界。雖然你可以給OU分配權(quán)限，但是同一域中的所有OU都將針對域和林資源對資源進(jìn)行身份驗(yàn)證。而且，良好設(shè)計(jì)的OU層次結(jié)構(gòu)有助于開發(fā)、部署和管理有效的安全措施。 用戶的組織可能需要考慮在當(dāng)前的Active Directory設(shè)計(jì)中劃分服務(wù)和數(shù)據(jù)的管理控制。有效的Active Directory設(shè)計(jì)要求完全了解組織對服務(wù)自主和隔離以及數(shù)據(jù)自主和隔離的要求。

2．管理邊界

因?yàn)榭赡苄枰獙Ψ?wù)和數(shù)據(jù)進(jìn)行分段，所以必須定義不同的必需管理級別。除了那些可能為用戶的組織執(zhí)行特有服務(wù)的管理員之外，還建議考慮以下類型的管理員（不過一般企業(yè)中是沒有專門的這些管理員的）。

（1）服務(wù)管理員

Active Directory服務(wù)管理員負(fù)責(zé)配置和傳送目錄服務(wù)。例如，服務(wù)管理員維護(hù)域控制器服務(wù)器、控制目錄級別的配置設(shè)置以及確保服務(wù)可用性。應(yīng)該考慮讓組織中的Active Directory管理員成為你的服務(wù)管理員。 Active Directory服務(wù)配置通常由屬性值確定。這些屬性值與其各自存儲在目錄中的對象的設(shè)置相對應(yīng)。因此，Active Directory中的服務(wù)管理員也是數(shù)據(jù)管理員。組織需求可能需要用戶在Active Directory服務(wù)設(shè)計(jì)中考慮其他服務(wù)管理員組。包括以下幾方面內(nèi)容。 n???????? 域管理組，主要負(fù)責(zé)目錄服務(wù)。 林管理員選擇組來管理每個(gè)域。由于每個(gè)域的管理員被授予高級訪問權(quán)限，所以這些管理員應(yīng)該是高度受信任的個(gè)人。域管理員通過Domain Administrators組和其他內(nèi)置組來控制域。

n???????? 管理DNS的管理員組。 DNS管理員組完成DNS設(shè)計(jì)和管理DNS基礎(chǔ)結(jié)構(gòu)。DNS管理員通過DNS Administrators組來管理DNS基礎(chǔ)結(jié)構(gòu)。 n???????? 管理OU的管理員組。 OU管理員負(fù)責(zé)指定各OU的管理者（組或個(gè)人）。每個(gè)OU管理員管理存儲在分配的Active Directory OU中的數(shù)據(jù)。這些組可控制如何委派管理，如何將策略應(yīng)用于OU中的對象。OU管理員還可以創(chuàng)建新子樹并委派他們負(fù)責(zé)的OU的管理。 n???????? 管理基礎(chǔ)結(jié)構(gòu)服務(wù)器的管理員組。 負(fù)責(zé)基礎(chǔ)結(jié)構(gòu)服務(wù)器管理的組管理WINS、DHCP并潛在管理DNS基礎(chǔ)結(jié)構(gòu)。在某些情況下，處理域管理的組將管理DNS基礎(chǔ)結(jié)構(gòu)，原因是Active Directory已與DNS集成并在域控制器上存儲和管理。

（2）數(shù)據(jù)管理員

Active Directory數(shù)據(jù)管理員管理存儲在Active Directory或加入至Active Directory中的計(jì)算機(jī)上的數(shù)據(jù)。這些管理員不能控制目錄服務(wù)的配置和傳送。數(shù)據(jù)管理員是由組織設(shè)立的安全小組的成員。有時(shí)，Windows的默認(rèn)安全組并不清楚組織的所有情況。此時(shí)，組織可開發(fā)自己的安全組命名標(biāo)準(zhǔn)和意義，最大程度地滿足環(huán)境的需要。數(shù)據(jù)管理員的部分日常工作包括以下幾方面內(nèi)容。 n???????? 控制目錄中的對象子集：通過可繼承的屬性級別訪問控制，數(shù)據(jù)管理員可被授予對目錄中非常具體的部分的控制權(quán)，但是無法控制服務(wù)本身的控制。 n???????? 管理目錄中的成員計(jì)算機(jī)以及那些計(jì)算機(jī)上的數(shù)據(jù)。在許多情況下，存儲在目錄中的對象的屬性值確定目錄的服務(wù)配置。總之，若要允許Active Directory服務(wù)和目錄結(jié)構(gòu)的所有者加入林或域基礎(chǔ)結(jié)構(gòu)，組織就必須信任林和所有域中的所有服務(wù)管理員。此外，企業(yè)安全計(jì)劃必須開發(fā)標(biāo)準(zhǔn)策略和程序以便針對管理員執(zhí)行適當(dāng)?shù)谋尘皺z查。

總結(jié)

以上是生活随笔為你收集整理的Active Directory边界的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。