|
Рубрика:
Синопсис /
Ноябрь 2014
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
Степан Москалев,
инженер ИТ-систем, MCSE, MCSE:S, MCSE:M, MCITP EA, MCITP EMA, HP AIS
Леонид Шапиро,
архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, CCEE
Active Directory и безопасность
Часть 4. Принцип наименьших привилегий
Ранее [1-3] мы изучили базовые механизмы защиты учетных записей привилегированных пользователей службы каталога AD с помощью стандартных средств. Теперь разберемся, как можно выполнить защиту административных групп, что такое принцип наименьших привилегий, и какие средства предлагает нам ОС
Правила наименьших привилегий для службы каталогов Microsoft
Как правило, выполнение основных административных функций в AD выполняется пользователями, являющимися членами встроенных в AD административных групп, создающихся по умолчанию при установке службы каталогов. Это такие группы, как Enterprise Admins, Domain Admins, Administrators, Schema Admins и ряд других. Разумеется, мы нередко прибегаем и к делегированию полномочий для выполнения задач управления сервисами и/или данными, используя для этой цели специально создаваемые группы. Примерами могут служить администрирование учетных записей пользователей, компьютеров, групп в рамках всего домена или его части, скажем, на уровне организационного подразделения (OU).
Члены встроенных административных групп обладают весьма значительными правами, часто большими, чем сама система. Следовательно, несанкционированная возможность использования этих учетных записей может привести к краху или компрометации всей системы в целом. Для уменьшения вероятности попадания учетных записей пользователей к злоумышленнику необходимо руководствоваться некоторыми простыми правилами.
<...>
Ключевые слова: безопасность, AD, пароли, привилегии
Полную версию статьи читайте в журнале
Подпишитесь на журнал
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
Active Directory и безопасность. Часть 4. Принцип наименьших привилегий
