Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Почему это достойно внимания
Члены административных групп высокого уровня, таких как Enterprise Admins, Schema Admins, Domain Admins, Account Operators записей и другие, имеют широкие права на уровне компьютера, домена или леса. Это риск для безопасности и эксплуатации.
Посмотрите, как инженер по работе с клиентами объясняет проблему
Контекст и рекомендации
Active Directory включает в себя ряд административных групп высокого уровня, в том числе Enterprise Admins, Schema Admins, Domain Admins, DHCP Administrators и так далее.
Члены некоторых из этих привилегированных групп могут вносить изменения в Active Directory, контролировать доступ ко всем контроллерам доменов, системе доменных имен (DNS) и другим серверам в домене и изменять схему, которая регулирует структуру и содержание всего каталога. Администраторы могут предоставить себе полную собственность на объекты и изменять разрешения на доступ в зависимости от того, членами каких групп с повышенными правами они являются.
Учетные записи в этих группах должны быть в числе наиболее охраняемых в организации. Необходимо принять дополнительные меры предосторожности, чтобы они не использовались без разрешения и не были скомпрометированы. Следует осуществлять мониторинг и аудит членов этих групп. Использование по возможности пользовательских групп с делегированными привилегиями может быть более безопасным решением.
Корпорация Майкрософт рекомендует ограничить членство в этих группах либо пустым (только временным членством), либо несколькими администраторами, которые отвечают за общее состояние службы Active Directory. Другие администраторы должны получать конкретные разрешения на изменение только подмножества служб каталога или данных в каждом домене путем внедрения модели административного делегирования.
Рекомендуемые действия
Проверьте членов следующих групп:
- Администраторы предприятия
- Администраторы схемы
- Администраторы домена
- Account Operators (если они присутствуют)
- Server Operators (если они присутствуют)
- Print Operators (если они присутствуют)
- DHCP Administrators
- Администраторы DNS
Убедитесь, что все члены группы имеют веские причины находиться в этих группах.
Рассмотрите возможность создания пользовательских групп с конкретными делегированными разрешениями и создания учетных записей администраторов в этих группах. Кроме того, внедрить исключительно временное членство, при котором учетные записи должны иметь явно повышенные права, чтобы присоединиться к определенной группе. Затем их следует снова понизить.
Подробнее
Обеспечение безопасности групп администраторов и учетных записей Active Directory
https://technet.microsoft.com/library/cc700835.aspx
Создание практик безопасного администрирования служб
https://technet.microsoft.com/library/cc773283(v=ws.10).aspx
Внедрение наименее привилегированных административных моделей
/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models
Загрузите рекомендации по обеспечению безопасности Active Directory в соответствующем разделе