none
Дочерний домен или доверительные отношения RRS feed

  • Вопрос

  • Добрый день, прошу помочь советом.

    Имеется основной сервер на котором стоят различные программы (VoIP, Документооборот, 1C, сайты, почта и т.д.) и дополнительный сервер на который планируется подключать пользователей. Компания располагается в 2-х офисах, в одном городе, связь по VPN (RRAS). На дополнительном сервере (2-ой офис) будут администрировать другие ИТ-специалисты с этой же компании. Основной сервер будет располагаться в 1-ом офисе, там он будет под личным контролем.

    Никак не могу найти ответы на ключевые вопросы, каким способом было бы лучше ограничить доступ ИТ-шникам из второго офиса в первый, дабы они ничего случайно не сломали, а также от любопытных пользователей-кулхацкеров.

    - Стоит тут использовать дочерний домен или доверительные отношения?

    В случае дочернего домена, пользователи могут заходить "и туда и сюда" без проблем.
    В случае с доверительными отношениями, ситуация не сильно меняется, так как нужно будет использовать транзитивные ДО.
    В принципе, дочерний домен это и есть транзитивные отношения, верно ли я понимаю?

    - Как в этом случае было бы правильно поступить?

    16 марта 2014 г. 6:17

Ответы

  • Скажите пожалуйста, могу ли я как-то ограничить только административный доступ на первый домен? Т.е. чтоб администраторы дочернего домена или его администраторы предприятия имели полные права только на дополнительный (дочерний) домен, а на основной имели доступ только как пользователи? Может быть исходя из этих соображений можно будет оттолкнуться и с ориентироваться что использовать в качестве связи доменов (дочерний или доверие).

    Ответ на ваш вопрос такой: в рамках одного леса вы можете защититься только от ошибок администраторов дочернего домена, но не от их злонамеренных действий.

    Ограничить доступ к адмнистрированию корневого домена с использованием стандартных средств вы можете - просто не давайте администраторам филиала прав администраторов корневого домена или администраторов предприятия (не включайте их в соответствующие группы).

    Но имейте в виду, что граница безопасности между доменами в одном лесу отсутствует, потому что фильтрация SID для доверительных отношений внутри леса всегда отключена, и, следовательно, администратор дочернего домена может включить (через атрибут SID History учетной записи в своем домене, например) в свои данные авторизации через доверительные отношения идентификаторы любых пользователей и групп из корневого домена и получить их полномочия.


    Слава России!


    16 марта 2014 г. 16:53

Все ответы

  • А нужны ли вам доверительные отношения между доменами вообще? 

    Создайте 2 леса , настройте односторонние дов. отношения так что бы админы из второго офиса не могли ходить на ваши ресурсы, а вы на их могли


    16 марта 2014 г. 7:21
  • Хотелось бы так и сделать, но видите ли, на основном домене находятся все программы на которые должны иметь доступ все пользователи. По-моему, тут я в любом случае ничего не выигрываю и не будет разницы от того что использовать - доверие или дочерний домен.

    Скажите пожалуйста, могу ли я как-то ограничить только административный доступ на первый домен? Т.е. чтоб администраторы дочернего домена или его администраторы предприятия имели полные права только на дополнительный (дочерний) домен, а на основной имели доступ только как пользователи? Может быть исходя из этих соображений можно будет оттолкнуться и с ориентироваться что использовать в качестве связи доменов (дочерний или доверие).

    Просто беспокоюсь за безопасность основного сервера от злоумышленников или от случайной поломки со стороны посторонних лиц.

    16 марта 2014 г. 10:35
  • Если у вас один лес и в нем 2 домена, корневой и дочерний - из группы Enterprise Administrators уберите админов дочернего домена и они будут иметь только юзерские права в родительском домене
    16 марта 2014 г. 11:44
  • Скажите пожалуйста, могу ли я как-то ограничить только административный доступ на первый домен? Т.е. чтоб администраторы дочернего домена или его администраторы предприятия имели полные права только на дополнительный (дочерний) домен, а на основной имели доступ только как пользователи? Может быть исходя из этих соображений можно будет оттолкнуться и с ориентироваться что использовать в качестве связи доменов (дочерний или доверие).

    Ответ на ваш вопрос такой: в рамках одного леса вы можете защититься только от ошибок администраторов дочернего домена, но не от их злонамеренных действий.

    Ограничить доступ к адмнистрированию корневого домена с использованием стандартных средств вы можете - просто не давайте администраторам филиала прав администраторов корневого домена или администраторов предприятия (не включайте их в соответствующие группы).

    Но имейте в виду, что граница безопасности между доменами в одном лесу отсутствует, потому что фильтрация SID для доверительных отношений внутри леса всегда отключена, и, следовательно, администратор дочернего домена может включить (через атрибут SID History учетной записи в своем домене, например) в свои данные авторизации через доверительные отношения идентификаторы любых пользователей и групп из корневого домена и получить их полномочия.


    Слава России!


    16 марта 2014 г. 16:53
  • ОК, я понял,

    следовательно, учитывая что мне также нужно и защита от злонамеренных действии и не исключается доступ от посторонних неизвестных лиц (гостей или пользователей с удаленным подключением), то думаю тут будет правильнее использовать отдельный лес с двусторонним доверительным отношением, как наиболее безопасное решение.

    Вопрос решен, всем спасибо за помощь.

    16 марта 2014 г. 20:56