none
Доп меры безопастности при вводе в Домен. RRS feed

  • Вопрос

  • Всем добрый день.

    Возникла потребность введения доп. Мер безопасности в домене.

    Требуется настроить политику так, чтобы компьютер нельзя было ввести в домен пока не будет создана заранее вручную его учетная запись в AD так как по регламенту безопасности в компании настройки только одной политики «Add workstations to domain» не достаточно.

    Насколько я знаю, данная настройка должна лежать в GPO (Default Domain Controller Policy) но её я там найти не могу.

    Прошу вас помочь найти данную опцию.

    2 октября 2012 г. 4:34

Ответы

  • Требуется настроить политику так, чтобы компьютер нельзя было ввести в домен пока не будет создана заранее вручную его учетная запись в AD так как по регламенту безопасности в компании настройки только одной политики «Add workstations to domain» не достаточно.

    Имея нужные права вы введете машину в домен независимо от того, создали ли вы предварительно ее или нет. Здесь я вижу только одно решение - выпиливать права у всех на создание  объекта компьютер и дать это право какой-либо определенной группе. Но насколько вам это нужно, конечно, решать вам. Проще под страхом казни (аудит создания объектов) раздать права присовединять машины к домену ответственным парням и делать это по номерным заявкам, в соответствии с регламентом и схемой именования. Вот и все. И да, не изменяйте дефолтные политики никогда- это дурной тон.
    • Помечено в качестве ответа Rotar MaksimModerator 17 октября 2012 г. 9:07
    2 октября 2012 г. 5:21
    Отвечающий
  • Насколько я знаю, данная настройка должна лежать в GPO (Default Domain Controller Policy) но её я там найти не могу.


    http://technet.microsoft.com/en-us/library/cc780195(WS.10).aspx

    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Rotar MaksimModerator 17 октября 2012 г. 9:07
    2 октября 2012 г. 8:17
    Модератор
  • доменным админам действительно ничего не запретишь, но таких всевластных должно быть немного и обычно они не занимаются вводом станций в домен. хелпдескам же можно делегировать права на определенную оушки и тогда они без создания учетки в этих оушках завести машину не смогут, так как прав на спецконтейнер по умолчанию computers у них нет.

    • Помечено в качестве ответа Rotar MaksimModerator 17 октября 2012 г. 9:07
    2 октября 2012 г. 12:09
    Модератор

Все ответы

  • Требуется настроить политику так, чтобы компьютер нельзя было ввести в домен пока не будет создана заранее вручную его учетная запись в AD так как по регламенту безопасности в компании настройки только одной политики «Add workstations to domain» не достаточно.

    Имея нужные права вы введете машину в домен независимо от того, создали ли вы предварительно ее или нет. Здесь я вижу только одно решение - выпиливать права у всех на создание  объекта компьютер и дать это право какой-либо определенной группе. Но насколько вам это нужно, конечно, решать вам. Проще под страхом казни (аудит создания объектов) раздать права присовединять машины к домену ответственным парням и делать это по номерным заявкам, в соответствии с регламентом и схемой именования. Вот и все. И да, не изменяйте дефолтные политики никогда- это дурной тон.
    • Помечено в качестве ответа Rotar MaksimModerator 17 октября 2012 г. 9:07
    2 октября 2012 г. 5:21
    Отвечающий
  • Насколько я знаю, данная настройка должна лежать в GPO (Default Domain Controller Policy) но её я там найти не могу.


    http://technet.microsoft.com/en-us/library/cc780195(WS.10).aspx

    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Rotar MaksimModerator 17 октября 2012 г. 9:07
    2 октября 2012 г. 8:17
    Модератор
  • Насколько я знаю, данная настройка должна лежать в GPO (Default Domain Controller Policy) но её я там найти не могу.


    http://technet.microsoft.com/en-us/library/cc780195(WS.10).aspx

    Сазонов Илья http://isazonov.wordpress.com/

    Где "Add workstations to domain" находится я знаю, а вот про политику о которой разговор выше найти немогу.
    2 октября 2012 г. 8:28
  • доменным админам действительно ничего не запретишь, но таких всевластных должно быть немного и обычно они не занимаются вводом станций в домен. хелпдескам же можно делегировать права на определенную оушки и тогда они без создания учетки в этих оушках завести машину не смогут, так как прав на спецконтейнер по умолчанию computers у них нет.

    • Помечено в качестве ответа Rotar MaksimModerator 17 октября 2012 г. 9:07
    2 октября 2012 г. 12:09
    Модератор
  • Спасибо за ответы.

    Тему можно закрыть.

    10 октября 2012 г. 11:14
  • пометь нужные сообщения как ответы и тема закроется )
    10 октября 2012 г. 12:50
    Модератор
  • Как изврат, можно перенаправить вновь созданные машины в специальный OU, где права ограничены даже для Dоmains Admins и Administrators. И права доступа запретят создавать машины всем. Но этот момент нужно попробовать, я не уверен.
    11 октября 2012 г. 4:57
  • Ответа так и не нашёл по поводу существования данной политики.

    Всем спасибо за обсуждение.

    12 октября 2012 г. 6:14
  • по регламенту безопасности в компании настройки только одной политики «Add workstations to domain» не достаточно.


    Как выше сказано, можно еще выставить права на контейнеры, так чтобы создавать объекты Computer могли только члены определенной группы.

    Сазонов Илья http://isazonov.wordpress.com/

    12 октября 2012 г. 8:01
    Модератор