Exporteren (0) Afdrukken
Alles uitvouwen

Aanbevolen procedures voor Active Directory

Aanbevolen procedures

  • Uit veiligheidsoverwegingen is het raadzaam u niet bij de computer aan te melden als beheerder.
    Wanneer u bij de computer bent aangemeld zonder beheerdersreferenties, kunt u met Uitvoeren als beheerderstaken uitvoeren.
    Zie Waarom u zich niet bij uw computer moet aanmelden als beheerder en Uitvoeren als gebruiken voor meer informatie.
  • U kunt de beveiliging van Active Directory verder verbeteren door de volgende veiligheidsrichtlijnen te implementeren:
    • Wijzig de naam van de Administrator-account (en de Gast-account) of schakel deze in elk domein uit ter voorkoming van aanvallen op uw domeinen. Zie Gebruikers- en computeraccounts voor meer informatie.
    • Plaats alle domeincontrollers veilig in een afgesloten ruimte. Zie Domeincontrollers en Active Directory beveiligen voor meer informatie.
    • De veiligheidsrelatie tussen twee forests beheren en het beveiligingsbeheer en verificatie in verschillende forests vereenvoudigen. Zie Forest-vertrouwensrelaties voor meer informatie.
    • U kunt het Active Directory-schema verder beveiligen door alle gebruikers uit de groep Schemabeheerders te verwijderen en alleen een gebruiker aan de groep toe te voegen wanneer het schema moet worden gewijzigd. Wanneer de wijziging is doorgevoerd, verwijdert u de gebruiker weer uit de groep.
    • Beperk de toegang van gebruikers, groepen en computers tot gedeelde bronnen en filter groepsbeleidsinstellingen. Zie Typen groepen voor meer informatie.
    • U kunt beter niet het gebruik van ondertekend of gecodeerd LDAP-verkeer uitschakelen voor beheerprogramma's van Active Directory. Zie Verbinding maken met domeincontrollers met Windows 2000 voor meer informatie.
    • Bij toewijzing van sommige gebruikersrechten aan bepaalde standaardgroepen kan het zijn dat leden van deze groepen aanvullende rechten in het domein verwerven, met inbegrip van beheerdersrechten. Daarom moeten in uw organisatie medewerkers die lid zijn van de groepen Ondernemingsadministrators, Domeinadministrators, Accountoperators, Serveroperators, Printeroperators en Back-upoperators in gelijke mate worden vertrouwd. Zie Standaardgroepen voor meer informatie over deze groepen.
    • Gebruik globale groepen of universele groepen in plaats van domeingebonden groepen wanneer u machtigingen opgeeft voor domeinmapobjecten die worden gerepliceerd naar de globale catalogus. Zie Replicatie van de globale catalogus voor meer informatie.
      Zie Beveiligingsinformatie voor Active Directory en Active Directory beveiligen voor algemene informatie over beveiliging van Active Directory.
  • Zet een site op voor elk geografisch gebied waar snelle toegang tot de actuele directorygegevens vereist is.
    Als u van gebieden die directe toegang tot actuele directorygegevens nodig hebben, afzonderlijke sites maakt, zijn de vereiste bronnen beschikbaar.
    Zie Sites maken voor meer informatie.
  • Plaatst ten minste één domeincontroller in elke site en maak van ten minste één domeincontroller in elke site een globale catalogus.
    Sites die niet een eigen domeincontroller en ten minste één globale catalogus hebben, zijn van andere sites afhankelijk voor directorygegevens en zijn minder efficiënt.
    Zie Een globale catalogus inschakelen of uitschakelen voor meer informatie.
  • Maak regelmatig back-ups van domeincontrollers zodat alle vertrouwensrelaties binnen dat domein behouden blijven.
    Zie Domeincontrollers voor meer informatie.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft