none
Целособразность ISA в AD RRS feed

  • Вопрос

  •  

    Возникает такой вопросик Имеет ли смысл входит ISA в домен если

    Администратор домена не должен иметь доступ к данному узлу.

    Желательно иметь обоснование по решение данной задачи.

     

    При этом хотелось бы сохранить возможность использования групп из AD

     

    8 ноября 2007 г. 13:15

Все ответы

  • Если машину в домен воткнуть, то админ домена и там админом будет, либо сможет себя подключить, например через груповы политики и т.д.

     

    По автризации групп тема уже была

    8 ноября 2007 г. 13:43
  •  

    Это я знаю

    Только нет желания, чтобы он был администратором на ISA/

     

     Только доводы нужны более убедительные

    8 ноября 2007 г. 13:47
  • Если желаете в полной мере пользоваться рулением с помощью групп, то однозначно в домен.

    От администратора можно подстраховаться с помощью аудита. Естественно придется больше прикладывать усилий.

     

    8 ноября 2007 г. 13:59
  • Модель безопасности в сетях AD Windows по умолчанию дает полные права администратору домена.

    Отказываться от этой модели следует только в том случае, если этого требует политика безопасности преприятия. В этом случае должна существовать сткруктура (отдел информационной безопасности), которая разрабатывает модель безопасности и имеет административные и технические средства для контроля за ее соблюдением. В противном случае будет полный бардак и сеть развалится на куски.

     

    Безусловно, что в жизни могут быть частные ситуации, когда надо сделать отдельный сервер недоступный администратору домена. Это можно сделать просто административным распоряжением (если руководство недоверяет благонадежности своего администратора(-ов), то как тогда доверяет ему остальную сеть?) Можно ограничить права администратора домена непосредственно на сервере, но это, как я считаю, исключительный вариант для организаций не имеющих мощного отдела информационной безопасности.

    8 ноября 2007 г. 14:41
    Модератор
  •  

    можно например сделать ису и подобные сервера в другом домене и доверительные отношения, тогда и с группами проблем не будет и админ домена не сможет получить себе права
    8 ноября 2007 г. 17:36
    Отвечающий