Security

從頭開始創建安全組 - 最佳實踐

  • September 7, 2011

我需要在 AD 中創建安全組。我可以確定我需要的組,假設它們是:管理、財務、銷售和工程。而且我可以確定每個組需要訪問的資源(儘管這可能是一項乏味的任務)。我可以確定所需的訪問級別。

大多數公司根據需要添加安全組。但這是公司已經成熟但以前從未使用過安全組的情況。是否有實施安全組的最佳實踐?有什麼提示嗎?還是要避免的陷阱?有沒有人知道任何可以加速組->資源映射過程的工具?

根據 Microsoft 對 Windows Server 2003 的建議(在考試70-294 的 MCSE 自定進度培訓工具包中找到:規劃、實施和維護 Microsoft Windows Server 2003 Active Directory 基礎結構) ,我實施它的方式是:

  • 為組織內的每個職位(例如 CEO、銷售總監等)創建一個全域安全組
  • 為每個資源創建一個域本地安全組(如果您授予某些人只讀權限而其他人修改權限,則創建兩個組)(例如,銷售文件修改器、行銷數據讀取器)
  • 使用域本地安全組為您的資源分配權限(例如,將銷售文件的修改權限授予銷售文件修改器組)
  • 將使用者分配到相關的全域安全組(例如,讓您的 CEO 成為 CEO 安全組的成員)
  • 將全域安全組添加到相關域本地安全組(例如,將 Sales Director 組添加到 Sales Files Modifiers 組)

所以你有:使用者帳戶 -> 工作角色安全組 -> 資源權限安全組 -> 資源權限

這樣做,如果你有很多資源,你最終會得到很多組,特別是域本地組,但它保持相對簡單和可維護。試圖變得聰明並擁有多個級別的嵌套組是複雜和災難的秘訣,相信我!

確保管理員以外的任何人都無法完全控制任何文件也是一個好主意。這可以防止 s 使用者試圖過於聰明並配置自己的權限。

引用自:https://serverfault.com/questions/308482