Pages

Subscribe:

Ads 468x60px

Labels

2014年5月8日 星期四

Active Directory 設計

Active Directory 設計

Active Directory 可供應用程式在分散式計算環境中尋找、使用和管理目錄資源。在建立 Active Directory 架構時,您必須小心考量環境的安全性界限。詳細規劃組織的安全性委派和實作時間表可使組織的Active Directory 設計獲得更高的安全保障。
建立 Windows Server 2003 目錄界限
這些界限在安裝 Active Directory 時自動建立,但是您必須確定權限界限符合組織需求和原則。
安全性界限-定義組織內各種群組的自治或區隔。
樹系對網域安全性界限-建立個別的樹系來使您的環境遠離居心不良的管理員。
管理界限-由於區隔服務和資料的潛在需要,定義必要的各種管理層級。
服務管理員-負責設定和提供目錄服務。
1.主要負責目錄服務的網域管理群組。
2.負責網域名稱系統 (DNS) 管理的管理員群組。
3.負責 OU 管理的管理員群組。
4.負責基礎結構伺服器管理的管理員群組。
資料管理員-負責管理儲存在 Active Directory 中或加入 Active Directory 的電腦上的資料。
促進群組原則管理和委派的 OU 結構
了解如何透過群組原則保障您組織的網域、網域控制站,並確保特定的伺服器角色安全。

OU->提供一個簡單的方法來對為使用者、電腦和其他安全性主體進行分組,也是區隔系統管理界限的有效方法。
     ->依據伺服器角色,提供不同的群組原則物件 (GPO)

委派管理和套用群組原則
在每一個容器上個別設定存取權控制清單 (ACL),將 OU 控制委派給群組或個人。
管理群組
將使用者、安全性群組或伺服器群體以容器區隔,來達到自治管理的目的。
基礎結構伺服器就是一個應用範圍。包含執行基本網路服務 (如執行 WINS 和 DHCP 服務) 的伺服器等所有非網域控制站
所有 DNS 伺服器都是在位於網域控制站 OU 中的網域控制站上執行。這裡的 DNS 伺服器就不算是基礎結構伺服器。
下列圖表提供這種 OU 的高層次檢視。
管理的 OU 委派
圖 1 
管理的 OU 委派

只要將伺服器移到一個 OU (也就是基礎結構 OU),然後將 OU 控制委派給相關的管理群組即可。
群組原則應用
請使用群組原則和委派管理來套用特定設定、權利和行為到 OU 內的所有伺服器。
GPO 應用程式層級
圖 2 
GPO 應用程式層級

安全性範本
安全性範本是以文字為主的檔案。範本檔案的有些段落含有以由 Security Descriptor Definition Language (SDDL) 撰寫的特定 ACL。
範本管理
通過驗證的使用者有權讀取「群組原則」物件中所含的所有設定。將用於實際執行環境的安全性範本儲存在負責實作群組原則的管理員可以存取的安全位置。處理未經授權的篡改。
管理群組原則和匯入安全性範本
成功的 GPO 應用事件
時間設定
基礎伺服器角色組織單位-目標是建立涵蓋所有伺服器的完整群組原則,同時確保位於 Active Directory 內的伺服器符合您的環境的安全性標準。
成員伺服器基礎原則
伺服器角色類型和組織單位

設定增量群組原則
圖 3 
設定增量群組原則

表 1:Windows Server 2003 角色
伺服器角色
說明
安全性範本
Windows Server 2003 網域控制站
含有 Active Directory 網域控制站的群組。
Enterprise Client – Domain Controller.inf
Windows Server 2003 成員伺服器
屬於網域的成員並位於成員伺服器 OU 之中或以下的所有伺服器。
Enterprise Client – Member Server Baseline.inf
Windows Server 2003 檔案伺服器
含有已鎖定檔案伺服器的群組。
Enterprise Client – File Server.inf
Windows Server 2003 列印伺服器
含有已鎖定列印伺服器的群組。
Enterprise Client – Print Server.inf
Windows Server 2003 基礎結構伺服器
含有已鎖定 DNS、WINS 和 DHCP 伺服器的群組。
Enterprise Client – Infrastructure Server.inf
Windows Server 2003 IAS 伺服器
含有已鎖定 IAS 伺服器的群組。
Enterprise Client – IAS Server.inf
Windows Server 2003 憑證服務伺服器
含有已鎖定憑證授權 (CA) 伺服器的群組。
Enterprise Client – CA Server.inf
Windows Server 2003 Bastion 主機
含有網際網路專用伺服器的群組。
High Security – Bastion Host.inf
Windows Server 2003 IIS 伺服器
含有已鎖定 IIS 伺服器的群組。
Enterprise Client – IIS Server.inf
 


OU 設計範例
圖 4 
OU 設計範例

表 2:OU 及管理群組
OU 名稱
管理群組
網域控制站
網域工程
成員伺服器器
網域工程
基礎結構
作業
檔案
作業
列印
作業
IAS
網域工程
CA
企業管理
Web
Web 服務
 

沒有留言:

張貼留言