问安全管理AD域

EN

我认为您的同事正在讨论一个使用空根域和一个或多个子域的森林模型。根域只存储、Schema Admins组以及Schema角色和域命名主角色。然后，Enterprise组将完全控制子域。这个想法是为了保护这些强大的集团免受其他管理员和潜在的妥协。您的子域仍然具有标准域管理员组和内置运算符组。所有标准用户帐户都在子域中创建。

它们可能仍然是该模型的一些用例，但一般来说，您应该尽量保持AD结构的简单，而单个域模型则尽可能简单。

有趣的是，Windows 2016为管理组增加了更多的保护。

希望这能有所帮助

你的同事指的是很久以前被认为是一种可以接受的做法。。情况已经不再是这样了(甚至15年前，我认为它的价值也是可疑的)。由于森林(而不是域)是您的安全边界所在的地方，因此您可以从此设置(如果有的话)获得非常有限的附加安全性，为此您将增加复杂性，并且必须处理Microsoft不再建议使用的子域，除了非常有限的情况(游轮是子域有意义的组织的剩余示例)。

你的同事错了，你不应该这样做。相反，您应该正确地做这件事，并考虑用Active Directory的原始版本对他提出一个在15年前可能有一些小值的实现。至于如何正确处理Active Directory，以及如何正确处理Active Directory，您还没有提供足够的信息来提出任何消息灵通的建议，只是说您的同事的建议不是一个好主意。(就我个人而言，我不会理会其他人提出的任何建议，他们建议建立一个空旷的森林根。知道自己在谈论Active Directory的人一开始不会提出这样的建议。)

实际上，为管理帐户和组设置一个单独的堡垒林会更安全。你可以在这里读到更多关于它的内容：

Active域服务(AD DS) https://technet.microsoft.com/en-us/library/mt150258.aspx的特权身份管理

假设您在100个位置有一个带有域控制器的生产林。而且您的堡垒林只有域控制器在您的主要数据中心。如果发生了对生产林的入侵，则管理域控制器和数据库/krbtgt帐户的风险较小。堡垒林通常也具有更严格的安全设置，您可以拥有单向林信任(生产林信任堡垒林，而不是其他方式)。有时间限制的组成员/访问的新PIM功能也是一种安全改进。