Active Directory 服務管理委派
委派服務管理
發佈日期: 2004 年 5 月 17 日
服務管理涉及 Active Directory 目錄服務全方位的管理,並需要提供目錄服務傳送上的安全性與可靠性。服務管理的整體責任就是託付給負責規劃與長期維護 Active Directory 基礎結構的服務擁有者,並確保目錄繼續運作,以及符合在服務層級協議中建立的目標。為了達成該目標,服務擁有者會在服務管理員之間建立一套管理委派模型來分配不同的管理責任。因此,服務管理員就代表了服務擁有者的作業手臂。
服務擁有者會從其服務管理員之間選擇一個小型但具備高信任度及技巧的管理員群組,並藉由指定他們作為樹系的 Enterprise Administrators 方式賦予最高的權限等級。雖然服務擁有者負責為服務管理建立委派模型,但在模型建立期間,服務管理員可藉由提供操作上的觀點來予以協助,這包括系統的能力與限制。當服務管理設計良好的委派模型建立完成時,Enterprise Administrators 可實作委派模型讓服務管理的管理員小組來完成所指派的責任。
本章提供在 Active Directory 環境中如何使用委派來涵蓋整個服務管理的指導。這裡展示構成服務管理所有類別的概觀,並提供如何以具安全意識的方式有效委派整個服務管理的建議。
為協助服務擁有者建立服務委派模型,以及幫助高階管理員實作該模型,本章會提供下列資訊:
需要管理的服務工作類別概觀
預設服務管理群組與其權限等級的概觀
藉由服務管理角色建議如何以有效而具安全意識的方式委派所有服務管理責任
實作服務委派模型的最佳實務就是為每個管理角色建立服務管理群組、指定適當權限和擴展群組
本頁內容
委派服務管理中權限等級考量
建議的服務管理方式
服務管理概觀
建立服務管理委派模型
服務管理委派模型實作
維護服務管理委派模型
委派服務管理中權限等級考量
一種與委派管理概念密切相關的隱含見解是:由於委派涉及授權給管理員較小的權限能力來完成特定的管理工作組,所以通常可以假設委派管理工作的本質、範圍和影響較為缺乏安全警覺,而且不能像管理員委派工作一樣將權限提高至相同的程度。
雖然這種見解一般都正確,但卻不適用於服務管理的委派。服務管理涉及管理範圍,可協助提供 Active Directory 目錄服務時的安全性與可靠性。因此,就其本質而言,可以假設多數涉及提升安全性和可靠性的管理工作,均可能、也會對目錄服務的安全性價值和可用性造成明顯的影響。
儘管某些管理工作對安全性十分敏感而且會影響整個樹系,因此需要提升為較高的權限,大多數的管理工作都不需要如此高的管理權限。確實需要提升權限等級的管理工作,只應委託給非常可靠而具有高度技巧的的管理員群組。雖然多數服務管理工作並不需要提升權限等級,但確實需要比資料管理工作更多的權限,同時需要指派給十分可靠的人員。
這些管理員所需具備的技巧和信任等級,對組織而言均代表了高昂的成本。若要在 Active Directory 環境中將作業整體成本降至最低並增加安全性價值,則必須儘量減少這些非常可靠而具有高度技巧的管理員人數,其方式是將安全性敏感度較低的服務管理工作責任委派給可靠度和技能等級較低的管理員。
此外,由於沒必要的過寬管理認證在惡意、不小心或不注意的使用情況下,可能會導致無法復原的損害 (例如,意外刪除資料、不小心對機密性資料指定了錯誤值和基本服務的不適當設定),所以只授予服務管理員完成指定管理工作組所需的管理授權等級而不授予其他權限,是有意義的做法。例如,根據預設,Domain Administrators 和 Enterprise Administrators 有足夠權限來完成在 Active Directory 中每項服務管理工作。大多數的這些工作並不需要如此高的權限等級,而且可委派給權限較少的管理員,所以便可將非常可靠且具有高度權限的管理員群組減至最小,並將因為不小心或蓄意使用這種等級高而有決定性的權限等級機會降至最低。
最後,委派可用來達成指派責任的明確區隔,因此讓服務管理更容易管理,並增加 Active Directory 環境的可靠性與安全性價值。
例如,將整個樹系複寫 (但只限於整個樹系的複寫) 所有層面的責指定給特定的管理群組,不僅可確保為重要的服務特點提供管理服務,更可增加可靠性並有助於確保服務的提供。又如,在發生複寫問題時,可以向明確的管理員群組呈報這項問題;而如果懷疑與複寫相關的管理問題是惡意進行時,也可要求同一組管理員負責。
基於所有上述理由,雖然服務管理的委派並不一定會導致委派管理員的權限縮小,但確實可讓 Active Directory 環境更安全,並且在持續確保最高等級的服務安全性與可用性時,協助降低目錄服務管理的整體成本。
請注意,有一點非常重要而且一定要瞭解的,那就是每一位服務管理員都受到一致而高度的信任。每位服務管理員都有充分的權限,可以處理對目錄服務提供的安全與可靠性的不利影響,而其結果是會對儲存在或由 Active Directory 所保護的資料造成不利的影響。最重要是確定所有服務管理員都符合最高信任限制而沒有誇大。
建議的服務管理方式
如本文稍早在<第一章:管理委派概觀>中所提及,以具有結構與條理性的方式管理 Active Directory 環境,可大幅強化目錄服務的安全性,降低管理 Active Directory 的成本,並可成功解決所有利益關係人的管理需求,因此而使 Active Directory 的管理追蹤更順暢、有效和安全。
以具有結構與條理性的管理方式來管理 Active Directory 環境的服務特點,通常包含了下列建議步驟:
瞭解所有 Active Directory 服務管理的特性。
瞭解所有關係人的管理需求。
建立服務管理委派模型以確保涵蓋所有 Active Directory 管理上的特性,以及表達所有關係人的管理需求。
以一種有效且具安全意識的方式實作服務管理委派模型,確保表達出所有委派管理員和關係人的管理需求,同時也確定所有授予的管理存取都是根據最低權限而授予。
維護已實作的委派模型,這其中涉及對已實作委派模型的修改,以回應管理需求或要求上的變更。
服務管理概觀
本節提供所有服務管理類別的概觀,目的在協助您對 Active Directory 服務管理的所有特性有更佳的瞭解。文中也呈現 Microsoft 所建議的角色,這些角色能夠充分涵蓋 Active Directory 所有的服務管理特,並考量到服務擁有者與管理員的管理需求,因為它們才是在 Active Directory 服務管理中主要的關係人。
服務管理類別
服務管理包括管理所有目錄服務特性,這對於確保在企業間的目錄服務傳送不會中斷是非常重要的。服務管理包括但不限於下列管理工作:
新增和移除網域及網域控制站
管理與監控複寫
確保操作主要角色的正確指派和設定
執行目錄資料庫例行備份
管理網域及網域控制站安全性原則
設定目錄服務參數,例如設定樹系的功能性等級或是將目錄放入特殊物件清單安全性模型中
Active Directory 服務管理可區分成幾個需要管理的必要元件類別。每個服務管理類別都有一組相關工作可進行委派,以針對該類別的每項特性提供管理。
.gif "Note")
注意
當安裝 Active Directory 時,根據預設會建立幾個服務管理安全性群組。有些群組是由實作委派模型的高階管理員使用。其他的預設群組也可實作服務管理角色。如需 Active Directory 預設服務管理員群組和帳戶的詳細資訊,請參閱隨附於本文<Active Directory 委派管理最佳實務:附錄>中的<附錄 N:預設的 Active Directory 服務管理群組>。
Active Directory 服務管理可區分為下面類別:
安裝管理
結構管理
信任管理
知識參照管理
操作主要角色管理
備份和還原管理
LDAP 原則管理
目錄服務設定管理
複寫管理
功能性等級管理
目錄資料庫管理
安全性原則管理
DNS 管理
網域控制站管理
如需對應到這些類別的完整工作清單,請參閱隨附於本文<Active Directory 委派管理最佳實務:附錄>中的<附錄 A:Active Directory 管理工作>。請注意,這份清單中不包括與管理網域控制站伺服器管理特性有關的工作清單。
安裝管理
Active Directory 是裝載在企業中的網域控制站上。在執行 Windows Server 2003 或 Windows 2000 Server 的伺服器上安裝 Active Directory 時會建立樹系。在安裝樹系根網域後,於伺服器成員上繼續安裝 Active Directory 便會在樹系中建立新的子網域,或在現有網域中產生其他的網域控制站。
這個類別中的管理工作包括子網域的建立與刪除,以及在網域中安裝其他的網域控制站。通常建立子網域是不常見的操作。通常在 Active Directory 部署時會建立子網域。在初始部署之後,新增子網域的情況並不常發生;相反地,在現有網域中新增網域控制站的作業必須依需要在必要時執行,這通常是為了在只有一個網域控制站的遠端站台內解決網域控制站失敗情況,或是視需要在新位置提供網域控制站。
如需管理網域控制站的詳細資訊,請參閱《Active Directory 操作指南》(英文), 網址為 https://go.microsoft.com/fwlink/?LinkID=21268 (英文)。
結構管理
Active Directory 結構包括可儲存在 Active Directory 中物件組的定義,並執行同時管理結構和 Active Directory 內容的規則。結構包括類別、屬性和語法組來表示在結構中一個或更多類別的執行個體。結構也指定物件類別之間的關係。附於 Active Directory 的基層結構包括所有 Windows 2000 Server 和 Windows Server 2003 及其元件所使用的類別和屬性定義。結構物件可以修改,以符合在預設結構中無法使用的物件類別或屬性需求,或是移除現有類別或屬性結構物件,這樣便無法在 Active Directory 中建立執行個體。
這個類別中的管理工作涉及 Active Directory 結構的延伸與修改,
如需結構管理的詳細資訊,請參閱《Active Directory 操作指南》(英文) 網址為 https://go.microsoft.com/fwlink/?LinkID=21268 (英文)。
信任管理
信任關係是一種在網域之間所建立的連結,讓使用者在某網域中可由其他網域的網域控制站進行驗證。信任關係是必須存在的驗證管道,這樣在某網域的使用者便能授權存取另一網域的資源。在樹系中的所有網域都具有自動、雙向、可轉送的信任關係。
除了這些自動信任關係外,在 Active Directory 環境中還可建立另外四種信任類型。
捷徑信任: 可以在 Windows Server 2003 樹系內的兩個網域間設定,以提升網域之間的使用者登入次數。
外部信任: 可設定以存取位於 Windows NT 4.0 網域、不同的 Windows 2000 網域,或是未加入樹系信任的 Windows Server 2003 樹系內的資源。
樹系 信任: 在 Windows Server 2003 樹系中,可將兩個脫離的 Windows Server 2003 樹系連結在一起以形成單向或雙向的可傳送信任關係。雙向的跨樹系信任關係會在兩個樹系的每個網域間,形成可傳送的信任關係。
非 Windows Kerberos 領域信任: 可設定在非 Windows 品牌作業系統 Kerberos 版本 5 領域 (例如,UNIX 領域) 和 Active Directory 網域之間。
這個類別的管理工作涉及樹系中所有信任關係特性的建立、刪除與管理。
如需管理信任的詳細資訊,請參閱《Active Directory 操作指南》(英文), 網址為 https://go.microsoft.com/fwlink/?LinkID=21268 (英文)。
知識參照管理
Active Directory 儲存目錄磁碟分割的存在與位置相關資訊,包括所有目錄磁碟分割的名稱、保留目錄磁碟分割部份唯讀副本的通用類別目錄伺服器,以及保留目錄磁碟分割可寫入副本的網域控制站。目錄服務以「知識參照」的形式,用這項資訊產生對其他網域控制站的參照。
LDAP 查詢可能會傳回三種知識參照:
次要參照:這是目錄磁碟分割 (或磁碟分割) 的知識,在命名階層中直接與 (通常階層較低) 網域控制站所持的目錄磁碟分割相鄰接。
交互參照:這是目錄磁碟分割的知識,儲存在磁碟分割容器的交互參照物件中。在一個指定的網域控制站上,不論目錄磁碟分割在樹狀目錄中的位置為何,所有交互參照的組合都會提供樹系中所有目錄磁碟分割的知識。
注意
在任何指定時間交互參照知識的狀態受限於目錄複寫延遲的影響。上層參照:這是特別指定的轉介位置的知識,每當網域控制站沒有搜尋依據知識時就會使用此知識。
在 Active Directory 中知識參照是由 crossRef 物件所表示,並儲存在磁碟分割容器的設定磁碟分割中。這個類別中的管理工作包括交互參照的預先建立和上層參照的規格。
操作主要角色管理
為了避免衝突,Active Directory 會根據操作實行以下要求,即特定操作只能在每個樹系或網域的單一網域控制站上執行。這些被指定能夠執行單一主機操作的網域控制站便稱為操作主機。每個操作主機所具備的角色,都能識別其唯一負責的操作形式。
Active Directory 可定義五種操作主機角色。兩個是整個樹系的角色,而三個是整個網域的角色:
結構主機: 在樹系中唯一可執行寫入操作到結構目錄磁碟分割的網域控制站。
網域命名主機: 在樹系中唯一可新增或移除網域或應用程式目錄磁碟分割的網域控制站。
相關識別元 (RID) 主機: 在網域中唯一可指定 RID 到某個網域控制站上的網域控制站。網域控制站需要 RID 建立新的安全原則。
網域主控制站模擬器: 在網域中唯一可提供 PDC 功能的網域控制站。我們需要使用 PDC 來與 Windows NT 4.0 工作站、成員伺服器及備份網域控制站互動。
基礎結構主機: 在網域中當群組成員已重新命名或在網域中改變時,唯一能更新群組到使用者參照的網域控制站。
注意
結構主機和網域命名主機都是根據每個樹系而定的角色,應該由屬於樹系根網域的網域控制站持有。結構主機和網域命名主機角色應永遠放在相同的網域控制站中,而且這個網域控制站必須是通用類別目錄伺服器。
這個類別的管理工作包括五種操作主機角色的轉送和拿取。
如需管理操作主機的詳細資訊,請參閱《Active Directory 操作指南》(英文), 網址為 https://go.microsoft.com/fwlink/?LinkID=21268 (英文)。
備份和還原管理
對失敗復原管理而言,備份和還原資料非常重要。由管理的觀點來看,這個類別中唯一的管理操作就是備份和還原 Active Directory。每個操作都在網域控制站上執行,而且由不同的使用者權限分開控制。
如需 Active Directory 備份與還原的詳細資訊,請參閱《Active Directory 操作指南》(英文), 網址為 https://go.microsoft.com/fwlink/?LinkID=21268 (英文)。
LDAP 原則管理
LDAP 是一種工業標準目錄服務通訊協定,是用來從 Active Directory 查詢和擷取資訊的目錄存取通訊協定。LDAP 定義目錄用戶端存取目錄伺服器、分享目錄資料和執行目錄操作的方式。LDAP 讓用戶端可以查詢、建立、更新和刪除儲存在目錄服務中的資訊。由於 LDAP 是一種查詢通訊協定,所以可以設定如何處理查詢的特定行為特性。根據預設,在樹系中所有的網域控制站都有相同的 LDAP 原則。
這個類別中的管理工作包括預設 LDAP 原則的設定,以及網域控制站特定的查詢原則的建立和設定 (如有必要)。
注意
雖然查詢原則可根據每個網域控制站的基礎來設定,但是我們建議不要為不同的網域控制站指定不同的 LDAP 原則。同時也要注意,如果設定不正確,某些網域控制站特定的 LDAP 原則會導致拒絕服務的情況。
目錄服務設定管理
目錄服務的特定設定可根據每個網域控制站的基礎來指定。例如,可強制網域控制站中的目錄服務聯絡可用的通用類別目錄伺服器,以立即重新整理安全群組快取。也可強制網域控制站中的目錄服務執行目錄資料庫的線上重組。這些可設定的參數會影響特定的網域控制站上的目錄服務傳遞。
這個類別中的管理工作,包括在該特定網域控制站上會影響目錄服務傳遞的不同參數設定。
複寫管理
Active Directory 複寫這項處理,會把網域控制站上所做的變更與儲存相同資料複本的網域或樹系內所有其他的網域控制站進行同步化。
這個類別中的管理工作包括所有整個複寫拓樸 (包括站台、站台連結、子網路和子網路到站台的關聯、Bridgehead 規格與設定) 的建立與維護,和監控整個複寫的操作。
如需管理複寫的詳細資訊,請參閱《Active Directory 操作指南》(英文), 網址為 https://go.microsoft.com/fwlink/?LinkID=21268 (英文)。
功能性等級管理
Active Directory 的功能性等級可確保使用正確的環境來啟用 Active Directory 的新功能。在 Windows 後繼版本中新增的 Active Directory 功能並不一定與較早的版本相容。當網域或樹系中的所有網域控制站都執行適當版本的 Windows 時,功能性等級便可讓您安全地啟用這樣的功能。
這個類別中的管理工作包括設定適當的功能性等級 (當 Active Directory 環境符合指定的功能性等級需求,而您也準備好啟用該功能性等級時)。
目錄資料庫管理
目錄資料庫是種自我維護的系統,藉由定期壓縮資料並將可用空間重組為連續頁面的方式來管理其成長。除了定期備份,在一般操作期間目錄資料庫不需要維護。唯一的需求是要有足夠的空間容納正常的成長。
在 Windows 2000 環境中大規模的改變,像是大量刪除和對繼承的安全描述項的變更等,都會導致明顯的資料庫成長。在 Windows Server 2003 中改良的處理能使這些狀況較不易發生問題;不過,資料庫成長必須加以監控,如果成長很明顯,則必須採取步驟以縮減資料庫的大小。資料庫管理包括離線進行資料庫的重組,以釋放可用空間給檔案系統。在執行 Windows Server 2003 的網域控制站上,也可以排定線上重組作業;根據預設,此作業是自動執行的。
資料庫管理工作也包括在需要維護硬體時,將資料庫及記錄檔移到不同的位置上。負責資料庫管理的服務管理員也會執行測試來疑難排解資料庫損毀,並採取步驟來還原資料庫檔案。
如需管理資料庫的詳細資訊,請參閱《Active Directory 操作指南》(英文), 網址為 https://go.microsoft.com/fwlink/?LinkID=21268 (英文)。
安全原則管理
網域和網域控制站的預設安全性原則設定會以群組原則物件 (GPO) 的形式指定和儲存。在安裝 Active Directory 時,這些設定會使用預設值 (但可設定),並會套用到所有的新網域。依據原則的本質,群組原則設定不是套用至使用者,就是套用至電腦。
在一個新的 Windows Server 2003 網域中,下列預設的 GPO 會保護網域和所有網域控制站:
預設網域原則會透過原則繼承連結到網域物件,並影響網域中的所有使用者及電腦 (包括作為網域控制站的電腦)
預設網域控制站原則會連結到網域控制站 OU,並只影響網域控制站,因為根據預設,網域控制站的電腦帳號會保留在網域控制站 OU 中。
安全原則設定可分為以下類別:
帳戶原則,包括:
密碼原則:控制密碼在網域帳戶上的強制執行與存留期
帳戶鎖定原則:決定帳戶被系統鎖定的情況和時間長度
Kerberos 原則:決定與 Kerberos 相關的設定,像是票證的存留期與強制執行
本機原則,包括:
稽核原則:在電腦上追蹤系統安全事件
使用者權限指定:在電腦上控制使用者和管理動作
安全性選項:影響 Active Directory、網路、檔案系統和使用者登入能力
事件記錄原則:定義和應用程式、安全性及系統事件記錄有關的屬性
這些安全性原則的管理都落在服務管理之下,因為網域控制站安全性原則控制網域控制站的安全性設定,而不正確的原則設定會嚴重影響目錄服務的安全性。除此之外,網域安全性原則設定可套用至任何是網域成員的 Windows 2000 工作站或伺服器。個人可能會變更這些設定,使網域的安全性原則減弱而危及安全性。例如,如果帳戶原則表示密碼強度可設定為允許弱式密碼,那麼密碼可能會被破解,因而危及系統的安全性。
這個類別中的管理工作包括預設網域控制站安全性原則的管理,以及密碼、帳戶鎖定和及 Kerberos 帳戶原則的管理。
服務管理群組和帳戶管理
很明顯,能控制強大管理群組帳戶成員資格的管理員便能輕易升高其權限成為服務管理員,或讓另一位使用者擔任服務管理員,因此會對整個目錄服務造成許多負面影響。當這樣的管理員有居心不良的企圖或被迫使進行某些行為時,可以很容易就中斷目錄服務的傳送。在最差的狀況下,不值得信任的管理員可能會導致無法還原的損壞,包括停用或摧毀樹系,或是暴露儲存在目錄服務中或是由其所保護的內容。
DNS 管理
Windows Server 2003 和 Windows 2000 Server 使用 DNS 來取代 Windows 網際網路名稱服務 (WINS) 的 NetBIOS 作為名稱解析方式,這也用在以 Windows NT 4.0 為基礎的網路中。對於需要 WINS 的應用程式仍可能使用 WINS;不過,Active Directory 需要 DNS。DNS 讓使用者使用容易記住的名稱來連接在 IP 網路中的電腦和其他資源。
Active Directory 使用 DNS 所提供的名稱解析服務讓用戶端能找到網域控制站,以及讓裝載目錄服務的網域控制站能彼此溝通。
Active Directory 的目的是要將 Active Directory 命名空間輕鬆地整合到現有的 DNS 命名空間中。類似 Active Directory 整合區域的功能,可以免除設定次要區域和設定區域轉送的需求,使 DNS 的部署更容易。
當在網域控制站上執行的 DNS 伺服器在 Active Directory 中儲存其區域時,並不需要另外設定使用一般 DNS 區域轉送的 DNS 複寫拓樸,反而所有區域資料會由 Active Directory 的複寫方式自動複寫。因此,整合了 Active Directory 服務管理的 DNS 主要涉及的作業,是管理儲存在網域控制站上的 DNS 資料。
DNS 基礎結構支援 Active Directory 邏輯結構,並透過樹系和網際網路提供電腦名稱解析。樹系擁有者會指定讓樹系使用的 Active Directory DNS 擁有者。Active Directory DNS 擁有者應徹底瞭解現有 DNS 基礎結構和組織的命名空間。
樹系的 Active Directory DNS 擁有者負責監督 Active Directory DNS 基礎結構的部署,並在必要時,確定網域名稱是以正確的網際網路授權登錄。
Active Directory DNS 擁有者負責設計樹系中的 Active Directory DNS。如果組織目前正使用 DNS 服務,那麼現有 DNS 服務的設計者應與 Active Directory DNS 擁有者一起工作,以委派樹系根 DNS 名稱到在網域控制站上執行的 DNS 伺服器。
樹系的 Active Directory DNS 擁有者也會與 DHCP 和 DNS 組成的組織維持聯絡,並協調樹系中每個網域與這些群組的任何個別 DNS 擁有者計畫。樹系的 DNS 擁有者會確定 DHCP 和 DNS 小組參與 Active Directory DNS 的設計程序,這樣每個群組都清楚 DNS 設計並可儘早提供輸入。
如需設定 DNS 的詳細資訊,請參閱在<設計和部署目錄與安全性服務>中的<Active Directory 邏輯結構設計>,以及《Windows Server 2003 Deployment Kit》的<部署網路服務>中的<部署 DNS>;或參閱 https://go.microsoft.com/fwlink/?LinkID=4723 上的<Active Directory 邏輯結構設計>(英文) 和 https://go.microsoft.com/fwlink/?LinkID=4709 上的<部署 DNS>(英文)。
網域控制站管理
網域控制站是裝載 Active Directory 目錄服務的成員伺服器。網域控制站的無法使用會直接影響 Active Directory 目錄服務的可用性,而牽涉到未授權存取網域控制站的安全性破壞可能會直接損害 Active Directory 環境的安全性。因此,對整個網域控制站的所有伺服器管理提供適當的管理範圍,並確定網域控制站永遠使用最新的軟體和正確設定,這是確保目錄服務傳送最重要的一點。
這個類別中的管理工作包括整個網域控制站的所有伺服器管理,而其中包括管理網域控制站硬體、確定有足夠的檔案系統空間,並確保在網域控制站中所有安全性修復程式和 Hot Fix 方面的應用程式都保持最新狀態。
如需管理網域控制站的詳細資訊,請參閱《Active Directory 操作指南》(英文), 網址為 https://go.microsoft.com/fwlink/?LinkID=21268 (英文)。
建議服務管理角色
Microsoft 已設計出一組委派服務管理的建議角色。這些建議的角色會考量邏輯上相關的已定義管理工作集,以及這些工作的安全性敏感度和影響。
以下是委派服務管理所建議的角色集:
樹系設定操作員
網域設定操作員
安全性原則管理員
服務管理管理員
網域控制站管理員
備份操作員
結構管理員
複寫管理管理員
複寫監控操作員
DNS 管理員
樹系設定操作員角色
許多的管理操作都會影響整個樹系的安全性。例如,子網域的建立與移除會在樹系上有深遠的結果。就壞的一面來看,建立子網域的能力可用以啟動對抗整個樹系的拒絕服務。因此,就壞的一面而言,任何影響整個樹系的操作都代表一種對樹系安全性的明顯威脅。Microsoft 建議所有影響樹系設定的管理工作應彙總並指定到樹系設定操作員角色。這個角色的管理員負責的工作包括但不限於:
建立和刪除子網域
建立、刪除和管理樹系中的所有信任關係
建立、刪除和管理交互參照物件
轉移和控制整個樹系的操作主要角色
修改整個樹系的 LDAP 設定
提升樹系功能性等級
Microsoft 建議針對 Active Directory 環境中的每個樹系,實作一個此角色的執行個體。Microsoft 也建議不要指定超過二或三個以上的管理員擔任這個角色。
網域設定操作員角色
有數項管理操作可能會影響整個網域的安全性,而且此種影響可能延伸到整個樹系。例如,網域控制站的新增或移除會在網域上造成深遠的結果,而且更可能延伸到整個樹系。就壞的一面而言,建立子網域的能力可以用來存取整個網域資料,而且可能將惡意的變更插入網域中。因此,就壞的一面來看,任何影響整個網域的操作都代表對網域安全性的明顯威脅,此種威脅甚至會延伸到樹系安全性。
Microsoft 建議影響網域設定的所有管理工作都應彙總並指定給網域設定操作員角色。這個角色的管理員負責的工作包括但不限於:
新增和移除複寫網域控制站
轉移和控制整個網域操作主要角色
保護與管理預設網域控制站 OU
保護與管理儲存在系統容器內的內容
在必要時由備份還原 Active Directory
Microsoft 建議針對 Active Directory 環境中的每個樹系,實作一個此角色的執行個體。Microsoft 也建議不要指定超過二或三個以上的管理員擔任這個角色。
注意
消除網域設定操作員角色,並將這些工作指定給樹系設定操作員角色的做法,似乎合於邏輯。然而,通常我們會建議將網域責任和整個樹系的責任加以區隔。一般而言,所有服務管理工作都會影響整個樹系;因此,我們可以說所有此類工作都應該指派給樹系設定操作員角色。不過,樹系設定操作員角色的目的是為了處理高度敏感的安全性管理工作,這些工作中,每一項都對整個樹系有明顯易見的影響。網域設定操作員角色的目的是將不同管理員集之間的能力加以區隔,並指定管理高度敏感安全性管理工作的責任;這些工作中,每一項都對整個網域有顯而易見的影響,但是如果未妥善處理這些管理工作,即可能對整個樹系造成衝擊。然而,這裡的目的不僅是單純地授予限制的能力,而是讓服務管理更具容易處理。
安全性原則管理員角色
透過群組原則設定套用的安全性原則,會影響網域中的每個使用者和電腦,而且也會保護網域控制站。
網域安全性原則包括的設定可套用到在網域中執行 Windows 2000 Server、Microsoft® Windows XP® 商用版作業系統或 Windows Server 2003 版本的任何工作站或伺服器上。網域安全性原則也包括在網域中套用到每個使用者帳戶上的帳戶原則設定。這些設定的變更會減弱網域的安全性原則。
例如,若帳戶原則\密碼原則的設定中將密碼力量定義為容許弱式密碼,則可能會危及系統安全性。由於所有網域帳戶都受限於網域安全性原則,弱式密碼原則也會危及服務管理員帳戶。洩漏服務管理員帳戶的結果,可能會造成網域和樹系安全性的災難。
網域安全性原則工作包括以下項目的管理:
密碼原則設定
帳戶鎖定設定
Kerberos 原則設定
相同的,每個網域都有網域控制站安全性原則,可套用至網域中所有的網域控制站。這個安全性原則包括使用者權限指派設定,後者則同時包含登入權利與權限。套用到網域控制站的使用者權利指派設定是具有高度敏感性的。例如,指定誰可登入網域控制站的安全原則集合,是由網域控制站安全性原則中的允許本機登入使用者權限指派設定所定義的。相同地,使用者權限指派設定也會定義在網域控制站中誰能執行各項高度敏感的安全性操作的安全性原則集合,例如載入和卸載裝置驅動程式使用者權限。具有這項權限的使用者可以插入在核心模式中執行的程式碼。取得檔案的擁有權或其他物件的使用者權限指派設定,可讓個人在網域控制站中取得任何檔案或物件的擁有權,這也包括在 Active Directory 中的任何目錄磁碟分割。
注意
在網域控制站 OU 中所能套用的最低等級使用者權限,就是預設的 OU。網域控制站 OU 是在網域目錄磁碟分割中所有網域控制站物件的預設容器,不建議也不支援將網域控制站移出這個 OU。套用至這個 OU 的使用者權限也會套用至 OU 中的 (也因此會套用到網域中的) 所有網域控制站。預設原則會以禁止在網域控制站上有效使用子 OU 的方法,套用至網域控制站 OU。和其他 OU 不同,網域控制站 OU 的子 OU 不能覆寫在網域控制站 OU 父層級所套用的原則。基於這個理由,不支援針對網域控制站子集合建立子 OU 及委派管理。
因此,任何網域中控制網域控制站安全性原則的個人都具有很高的權限。這個人對於 Active Directory 中的每一物件以及樹系中的每個可設定安全性的資源,都可獲得完全而不受限制的存取權 (例如,在連結到網域的伺服器中的檔案和資料庫)。這個人也可對其他每個人員進行限制,包括 Enterprise Admins、Builtin Adminis 和 Domain Admins 群組的成員,讓他們無法登入或存取樹系中的任何資源。
因此 Microsoft 建議將樹系中每一網域的整個網域控制站安全性原則管理、密碼管理、帳戶鎖定以及樹系中每一網域的網域安全性原則 Kerberos 特性,均委託給擔任安全性原則管理員角色的單一管理員群組負責。這個角色的管理員負責下列工作:
管理樹系中全部網域的網域控制站安全性特性
管理樹系中所有網域的下列網域安全性原則特性:
密碼原則
帳戶鎖定
Kerberos 原則
Microsoft 建議針對每個 Active Directory 樹系實作一個此角色的執行個體。Microsoft 也建議不要指定超過二或三個以上的管理員擔任這個角色。
注意
消除安全性原則管理員角色,並將這些工作指定給樹系設定操作員角色的做法,似乎合於邏輯。然而,通常我們會建議將安全性原則管理的責任和整個樹系的責任加以區隔。一般而言,所有服務管理工作都會影響整個樹系;因此,我們可以說所有此類工作都應該指派給樹系設定操作員角色。不過,樹系設定操作員角色的目的是為了處理高度敏感的安全性管理工作,這些工作中,每一項都對整個樹系有明顯易見的影響。安全性原則管理員角色的目的是將不同管理員集之間的能力加以區隔,並將管理整個樹系的所有敏感安全性原則的責任,指派給特定集合的管理員;如果未妥善處理這些管理工作,即可能對整個樹系造成衝擊。然而,這裡的目的不僅是單純地授予限制的能力,而是讓服務管理更具容易處理。組織很可能會決定讓相同的管理員成員集合擔任一個以上的服務管理角色。
服務 Admin 管理員角色
由於提升的能力會附加到服務管理員帳戶上,建議在整個樹系中固定一個角色來保護和管理所有的服務管理員帳戶。
Microsoft 建議在整個樹系中實作服務 Admin 管理員角色,以保護服務管理員群組成員資格。指定擔任此角色的管理員,必須是樹系中唯一可以管理和修改服務管理員群組成員資格,以及管理服務管理員帳戶的人員。因此,Microsoft 建議在樹系中只有一個此角色的執行個體。Active Directory 基礎結構的大小決定環境中服務管理員群組和帳戶的數量,而該數量會決定指定到這個角色的服務管理員數量。最佳實務的做法是,努力將指定給這個角色的管理員數量減至最少。
我們在此再一次陳述指定給這個角色的責任,也就是擔任服務 Admin 管理員角色的管理員,應該是在 Active directory 樹系中唯一負責建立、管理、保護和刪除所有服務管理帳戶和安全性群組的人。
注意
消除服務 Admin 管理員角色,並將這些工作指定給樹系設定操作員角色的做法,似乎合於邏輯。然而,通常我們會建議將服務管理員群組和成員管理的責任和整個樹系的責任加以區隔。一般而言,所有服務管理工作都會影響整個樹系;因此,我們可以說所有工作都應該指派給樹系設定操作員角色。不過,樹系設定操作員角色的目的是為了處理高度敏感的安全性管理工作,這些工作中,每一項都對整個樹系有明顯易見的影響。服務 Admin 管理員角色的目的是保護和管理整個樹系中所有服務管理群組和帳號。事實上,如果未妥善處理這些管理工作,即可能造成整個樹系的衝擊。然而,這裡的目的不僅是單純地授予限制的能力,而是讓服務管理更具容易處理。組織很可能會決定讓相同的管理員成員集合擔任一個以上的服務管理角色。
網域控制站管理員角色
在確保目錄服務的傳送時,最重要的一點就是管理網域控制站並在整個樹系中保持網域控制站是以目前的軟體和正確設定執行。除了管理服務外,管理網域控制站的管理員還有責任管理在網域控制站檔案系統中的資料,這些資料對於目錄服務的傳送也很重要。
因此,Microsoft 建議將整個網域控制站的管理責任委託給網域控制站管理員角色。這個角色的管理員所負責的工作包括但不限於下列在網域控制站上的操作:
安裝和修改軟體
安裝 Service Pack 和 Hot-Fix
在登錄中設定目錄服務
維護並備份事件記錄
設定服務控制管理員
管理目錄服務檔案和 Sysvol
啟動和關閉網域控制站
其他與安全性相關的操作,包括目錄資料庫離線操作
網域控制站應永遠置於具備較高安全性的位置。多數組織會在中央資料中心部署多個網域控制站,並也在幾個遠端資料中心部署多個網域控制站來提供全域性涵蓋。
某些組織可能會有大量分公司的衛星站台,其中只有一或兩個網域控制站。在這種狀況下,我們非常建議組織能評估與部署一種遠端管理解決方案,例如遠端監控管理 (RILO,Remote Insight Lights-Out) 便是由中央管制的管理小組,依據遠端位置所提供的完整遠端管理和網域控制站管理。以 RILO 為基礎的遠端伺服器管理解決方案,可由主要操作中心對遠端伺服器進行中央管理。一般而言,這些產品是以硬體為基礎,除了在遠端伺服器上實際修改硬體,還可讓管理員幾乎能在遠端執行任何本機所執行的功能。具有許多分公司站台的組織,理想上應有一個位於主要操作中心的管理群組來負責 Active Directory 環境。中央群組負責從遠端管理所有分公司的網域控制站。
請使用下列條件來決定要指派多少網域控制站管理員角色的執行個體:
當資料中心部署在不同的位置時,請為具有多個網域控制站的每個實體位置,指派一個角色執行個體。請根據必須管理的網域控制站數量,指派管理員擔任該角色。我們建議,指派給這個角色每個執行個體的管理員數量,要保持為絕對最小值。當網域控制站安裝所在的資料中心同時也裝載了其他提供不同應用程式和服務的伺服器時,請儘可能不要讓管理員負責管理這個角色的其他伺服器和服務成員,而是只選擇並指派受到高度信任、技巧高超的管理員擔任該角色。
當網域控制站位於許多的分公司站台時,請指派該角色另一個執行個體,由樹系根網域所在網域控制站的資料中心來完成分公司的管理工作。請根據必須管理的網域控制站數量,指派管理員擔任該角色。同樣地,如有可能,請儘可能減少指派到這個角色的管理員數量,但要確保能提供持續性的涵蓋。
如需強化以 Windows 為基礎的遠端管理產品詳細資訊,請搜尋 Windows Server Catalog。若要尋找 Windows 伺服器目錄,請參閱在網站資源頁上的 Windows 伺服器目錄連結 https://go.microsoft.com/fwlink/?LinkID=291 (英文)。
如需遠端伺服器管理規劃的詳細資訊,請參閱《Windows Server 2003 Deployment Kit》的<伺服器部署規劃>中的<遠端伺服器管理規劃>;或參閱 https://go.microsoft.com/fwlink/?LinkId=15309 上的<遠端伺服器管理規劃>(英文)。
注意
消除網域控制站 Admins 角色,並將這些工作指定給樹系設定操作員角色的做法,似乎合於邏輯。不過,目標是區分責任以讓服務管理更容易處理。網域控制站 Admins 角色的目的,是提供適當涵蓋以確保整個網域控制站伺服器管理的處理更為周全。如果網域控制站當機,其影響是立即可見而且通常負擔不起的。事實上,如果未妥善處理這些管理工作,即可能造成整個樹系的衝擊。所有的服務管理角色也有相同的情況,因此請確保只指派十分值得信任和具高度技巧的管理員來負責所有的服務管理角色。組織很可能會決定讓相同的管理員成員集合擔任一個以上的服務管理角色。
備份操作員角色
對每個電腦環境而言,備份資料都非常重要。正常的操作實務,應包含定期備份網域控制站並確保備份媒體安全,將資料竄改或竊取風險降至最低。
Active Directory 備份是藉由備份系統狀態來執行。系統狀態包括 Active Directory、網域控制站登錄和 Sysvol。由於系統狀態備份包括所有目錄服務相關資料,所以竊取備份媒體會和竊取網域控制站或網域控制站中的磁碟機有相同的風險。攻擊者可在其他地方還原資訊,並能未經授權而存取 Active Directory 資料。
有關備份 Active Directory 的管理工作可彙總並指派給備份操作員角色。這個角色的管理員負責根據指定排程而備份系統狀態。
請針對 Active Directory 單樹系環境中的每個網域,建立一個此角色的執行個體。不要為這個角色的單一執行個體指派二或三個以上的管理員。此外,從操作觀點而言,建議指定一個網域控制站來執行定期備份操作;而位於主要資料中心的網域控制站會是理想的選擇。
注意,還原 Active Directory 的管理工作已指派給網域設定操作員角色。這是因為還原 Active Directory 的行動和備份 Active Directory 不同,這不是定期或經常的工作,只會在 Active Directory 磁碟分割需要從備份中還原時執行。
注意
消除網域控制站 Admins 角色,並將這些工作指定給樹系設定操作員角色的做法,似乎合於邏輯。畢竟,備份操作員有充分的權限能夠登入到網域控制站並備份 Active Directory。當這個角色的管理員開始有居心不良的企圖或被迫使進行某些行為時,他可能會修改備份資料以插入惡意的變更。不過,目標是區分責任以讓服務管理更容易處理。事實上,如果未妥善處理這些管理工作,即可能造成整個樹系的衝擊。所有的服務管理角色也有相同的情況,因此請確保只指派十分值得信任和具高度技巧的管理員來負責所有的服務管理角色。組織很可能會決定讓相同的管理員成員集合擔任一個以上的服務管理角色。
結構管理員角色
由於結構是通用於整個樹系,所以修改結構會影響整個樹系。不正確修改會導致現有應用程式操作中斷或目錄損毀。此外,修改結構的能力也提供修改類別的預設安全性描述元能力。預設安全性描述元會保護目錄中新建立的物件。因此,透過對預設安全性描述元的特定變更,意圖不軌的管理員可藉由建立具有高度權限的使用者物件,取得危害安全性的能力。為隔離這些責任給少數選定的管理員,結構管理會被指派不同的角色。
指派結構管理員角色的管理員擔負著結構管理的所有工作。包括有關 Active Directory 結構延伸的變更以及停用現有類別或屬性的變更,和/或指定將某一屬性複寫到通用類別目錄上。
請針對 Active Directory 單樹系環境,建立一個此角色的執行個體。在這個角色的單一執行個體上,指派二或三個以上的管理員。
注意
消除結構 Admins 角色,並將這些工作指定給樹系設定操作員角色的做法,似乎合於邏輯。畢竟,結構管理員可以修改預設安全性描述元並提升其權限。當這個角色的管理員開始有居心不良的企圖或被迫使進行某些行為時,他可能會修改結構,而在最差的情況下,會導致 Active Directory 停止運作。不過,目標是區分責任以讓服務管理更容易處理。事實上,如果未妥善處理這些管理工作,即可能造成整個樹系的衝擊。所有的服務管理角色也有相同的情況,因此請確保只指派十分值得信任和具高度技巧的管理員來負責所有的服務管理角色。組織很可能會決定讓相同的管理員成員集合擔任一個以上的服務管理角色。
複寫管理管理員角色
Active Directory 會自動同步處理樹系中各網域控制站間的資料,同時將複本儲存在相同的目錄分割中。複寫對於確保所有網域控制站都提供最新資料而言非常重要。雖然在相同站台的網域控制站間的複寫不需要手動設定,但在不同站台的網域控制站間的複寫就必須用手動設定,以使用最佳網路頻寬,並在站台間設定可接受的複寫延遲等級。除了將 Active Directory 複寫設計成只需要最低程度的管理中斷外,複寫拓樸也要正確設定,並在需要變更時進行適當的設定,以確保 Active Directory 的複寫狀況良好、及時且保持最佳狀態;同時還要監控複寫以確定服務傳送不受干擾與可靠
Microsoft 建議將有關複寫拓樸設定的所有管理工作和整個複寫操作管理上的相關工作 (變更複寫設定),都指派到複寫管理管理員角色上。這個角色的管理員負責的工作包括但不限於:
建立、管理和刪除站台
將子網路關聯到站台
建立、管理和刪除站台連結與站台連結橋接器
由站台連結與站台連結橋接器上新增及移除站台
在站台連結上修改複寫排程和複寫間隔
建立和刪除手動建立的連接
在兩個網域控制站間強制複寫
強制完整的複寫同步
注意,一旦複寫拓樸初步設定後,並不需要經常變更,除非目前複寫拓樸有新的修改需求。
請針對 Active Directory 單樹系環境,建立一個此角色的執行個體。對於此角色的單一執行個體而言,在任何特定時間,這個角色都應該只有最少數量的管理員 (依據 Active Directory 環境的大小而定) 來回應與複寫相關的問題。
複寫監控操作員角色
Microsoft 建議將所有關於監控複寫活動的管理工作指派給複寫監控操作員角色。這個角色的管理員負責的工作包括但不限於:
- 監控複寫
請針對 Active Directory 單樹系環境,建立一個此角色的執行個體。由於複寫監控需求通常都是依據組織的 Active Directory 環境大小與複雜度而定,所以應該依據在單一工作輪班期間需要監控複寫的最小管理員人數,再乘上組織中的工作輪班量,決定指派給這個角色的管理員數量。
因此,複寫管理責任可區分成兩種角色:
管理複寫拓樸的角色,包括建立和維護站台及子網路、站台連結和站台連結橋接器,以及設定站台連結並視需要變更設定
監控複寫的角色
雖然可以將所有的複寫工作指派給一個角色,但是在管理複寫拓樸以及監控和設定複寫的特定管理工作之間加以區隔,可以區分責任歸屬並增加責任感。這正是 Microsoft 針對完整複寫管理建立兩種不同角色的原因。
注意
消除複寫管理 Admins 角色和複寫監控操作員角色,並將這些工作指定給樹系設定操作員角色的做法,似乎合於邏輯。畢竟,任一角色的任何管理員都可能中斷服務,因而造成整個樹系的衝擊。不過,目標是區分責任以讓服務管理更容易處理。事實上,如果未妥善處理這些管理工作,即可能造成整個樹系的衝擊。所有的服務管理角色也有相同的情況,因此請確保只指派十分值得信任和具高度技巧的管理員來負責所有的服務管理角色。組織很可能會決定讓相同的管理員成員集合擔任一個以上的服務管理角色。
DNS 管理員角色
Microsoft 建議將所有關於管理 Active Directory 整合 DNS 的管理工作指派給 DNS 管理員角色。這個角色針對 Active Directory 整合的 DNS 管理提供完整的管理。
這個角色的管理員負責的工作包括但不限於:
在網域控制站上安裝 DNS 伺服器
設定執行 DNS 的網域控制站以使用遞迴名稱解析的轉寄或根目錄提示,主要依據現有 DNS 服務所使用的方式而定
設定樹系根網域控制站來裝載對應到樹系根 DNS 名稱的 DNS 區域
設定每一區域網域的網域控制站來裝載對應到網域 DNS 名稱的 DNS 區域
設定包括整個樹系定位器記錄的區域並使用整個樹系 DNS 應用程式磁碟分割以複寫到樹系中每個 DNS 伺服器上
請針對 Active Directory 單樹系環境,建立一個此角色的執行個體。這個角色所需要的管理員數量依據環境的大小及是 DNS 伺服器的網域控制站數量而定。建議這個角色的管理員人數最好限制在操作所需的最小數量內。
如需 DNS 與 Active Directory 整合的詳細資訊,請參閱《Windows Server 2003 Deployment Kit》的<網路服務部署>中的<DNS 部署>;或參閱 https://go.microsoft.com/fwlink/?LinkId=4709 上的<DNS 部署>(英文)。
注意
任何 DNS 管理員都可能中斷服務,因而對整個樹系造成衝擊。不過,目標是區分責任以讓服務管理更容易處理。事實上,如果未妥善處理這些管理工作,即可能造成整個樹系的衝擊。所有的服務管理角色也有相同的情況,因此請確保只指派十分值得信任和具高度技巧的管理員來負責所有的服務管理角色。組織很可能會決定讓相同的管理員成員集合擔任一個以上的服務管理角色。
建議角色摘要
本文稍早所列出的十個 Microsoft 建議的角色集,足以涵蓋整個 Active Directory 管理上所有的特性,並以一種有效且具安全意識的方式來強化 Active Directory 服務的安全性價值、降低高等級權限疏忽濫用的風險、消除對大量較高權限管理員的需求 (例如 Domain Admins)、增加責任感、明確區分責任,並確保整個 Active Directory 環境具有適當的管理涵蓋面。
在整個建議的角色集中涵蓋了稍早所描述的所有服務管理類別,如表格 1 所示。
表格 1 服務管理類別和服務管理角色
服務管理類別 |
服務管理角色 |
|---|---|
安裝管理 |
樹系設定操作員 網域設定操作員 |
結構管理 |
結構管理員 |
信任管理 |
樹系設定操作員 |
知識參照管理 |
樹系設定操作員 |
操作主要角色管理 |
樹系設定操作員 網域設定操作員 |
備份和還原管理 |
備份操作員 網域設定操作員 |
LDAP 原則管理 |
樹系設定操作員 |
目錄服務設定管理 |
網域控制站管理員 |
複寫管理 |
複寫管理管理員 複寫監控操作員 |
功能性等級管理 |
樹系設定操作員 |
目錄資料庫管理 |
網域控制站管理員 |
安全性原則管理 |
安全性原則管理員 |
服務 Admin 群組和帳戶管理 |
服務 Admin 管理員 |
DNS 管理 |
DNS 管理員 |
網域控制站管理 |
網域控制站管理員 |
表格 2 呈現每一角色涵蓋不同服務管理類別的角色中心觀點。
表格 2 涵蓋服務管理類別的角色中心觀點
服務管理角色 |
涵蓋的服務管理類別 |
|---|---|
樹系設定操作員 |
安裝管理 信任管理 知識參照管理 操作主要角色管理 LDAP 原則管理 功能性等級管理 |
網域設定操作員 |
安裝管理 操作主要角色管理 備份和還原管理 |
安全性原則管理員 |
安全性原則管理 |
服務 Admin 管理員 |
服務 Admin 群組和帳戶管理 |
網域控制站管理 |
目錄服務設定管理 目錄資料庫管理 網域控制站管理 |
備份操作員 |
備份和還原管理 |
結構管理員 |
結構管理 |
複寫管理管理員 |
複寫管理 (拓樸和操作方面) |
複寫監控操作員 |
複寫管理 (健康狀況監控) |
DNS 管理員 |
DNS 管理 |
預設服務管理群組
安裝每個 Active Directory 時會有一些預設服務管理群組,其中有一些具有充分的權限來完成所有服務管理的管理性工作。例如,Enterprise Admins、Domain Admins 和 Built-In Adminis 群組均可執行和管理與 Active Directory 服務環境有關的所有管理工作。基於所有實質目的,這些群組都視為具備相同能力。
根據預設,在安裝 Active Directory 時,便會授與這些帳戶存取目錄和服務資源的權限。隨附於<Active Directory 委派管理最佳實務:附錄>中的<附錄 N:預設的 Active Directory 服務管理群組>列出每個預設管理員群組和帳戶及簡短敘述,包括使每一群組成為服務管理群組的特質。
這點值得討論,因為一旦建立和實作根據 Microsoft 所建議角色而定的委派模型後,理論上大部份的這些安全性群組就不再是必要的。因此,組織在仔細確保這些群組不再需要之後,便可選擇逐漸清理這些群組的成員。不過,理想上下列群組不應清理:Enterprise Admins、Domain Admins、Builtin Admins 和 Schema Admins。由於這些群組不是用來實作 Microsoft 建議的角色 (例如,備份操作員或 Schema Admins),就是在緊急狀況發生時可能需要用來擔保 Enterprise 或 Domain Admins 會採取一些行動,因此應保留下來。
是否要清理和可能停用一些這種群組,完全是由服務擁有者自行考量,而且也依據組織是否選擇實作所有 Microsoft 建議的角色而定。某些組織可能會選擇自訂或委派一些或少數 Microsoft 所建議的角色,其他的則會選擇忠於預設的服務管理群組,還有一些組織會依據 Microsoft 所建議的角色而完全地服從並實作服務管理委派模型。
建立服務管理委派模型
在建立解決服務管理需求的管理委派模型時,應以安全性和效率考量為依據。藉由遵照本節所說明的建議,便可建立一個有記錄的管理模型,確保:
針對 Active Directory 服務管理的所有特性,提供管理服務。
管理責任會依照妥善的安全性實務,分散於適當的管理群組之間。
許多服務管理工作所需的權限,都允許管理員對目錄服務進行可能有害的變更。有害的變更可能是由居心不良的管理員、或盜用了權限的未經授權管理員所進行。選擇具有高度技巧的管理員執行有安全敏感性管理工作的原因,就是要避免錯誤。選擇受到最高信任的服務管理員的原因,就要避免居心不良的變更。另外將安全性措施加入委派模型本身的原因,就是要避免未獲授權的管理員藉由不當管道取得權限。
管理委派模型的效率,除了要靠在適當的管理員數量與等級之間區分工作以提供最佳工作負載而達成外,也要靠完整服務範圍的提供。管理委派模型的效率與安全性,是藉由指定執行每項工作所需的最低權限來提供。
注意
本文件資訊可套用在具有現有樹系和網域結構的 Active Directory 基礎結構上。如需建立樹系和網域結構的詳細資訊,請參閱《Windows Server 2003 Deployment Kit》的<設計和部署目錄與安全性服務>中的<設計 Active Directory 邏輯結構>;或請參閱 https://go.microsoft.com/fwlink/?LinkId=4723 上的<設計 Active Directory 邏輯結構>(英文)。
建立服務委派模型的指導方針
若要依據這些角色而建立有效並具安全意識的模型,需要執行下列步驟:
瞭解指派到每個 Microsoft 所建議角色的責任本質,而且如有需要,由建議的角色定義中新增或移除指派的工作來自訂這些角色的定義。
決定環境所需要角色的執行個體數量。本文稍早所說明的每個 Microsoft 所建議角色的執行個體數量摘要於表格 3:
表 3 服務管理角色和建議的執行個體數量
服務管理角色
建議執行個體數量
樹系設定操作員
每樹系一個執行個體
網域設定操作員
每網域一個執行個體
安全性原則管理員
每樹系一個執行個體
服務 Admin 管理員
每樹系一個執行個體
網域控制站管理員
實際位於中央或遠端資料中心中的每一網域控制站組一個執行個體
實際位於遠端但透過遠端管理方案執行中央管理的所有網域控制站組一個執行個體
選擇性地,假設沒有使用遠端管理方案,本地管理的每個網域控制站一個執行個體。
備份操作員
每網域一個執行個體
結構管理員
每樹系一個執行個體
複寫管理管理員
每樹系一個執行個體
複寫監控操作員
每樹系一個執行個體
DNS 管理員
每樹系一個執行個體
依據 Active Directory 環境的大小與指定,決定指派給每個角色執行個體的管理員數量。
對於每個角色的每個執行個體,確認要指派給角色的特定管理員。記載這些角色的指派。
記載服務管理委派模型
在完成建立委派管理模型處理之後,服務擁有者應記載該模型並持續維護這項記載文件。由於組織的變更或成長而需要變更服務管理時,模型也要變更以反映新的需求。
管理委派模型文件應包括:
所有使用過角色的清單
每一角色的執行個體數量
指派到每個角色執行個體的管理員清單
指派到每個角色的管理員責任
稍後在處理中,當實作委派模型時,更新該文件以包括下列資訊:
用來代表每個角色執行個體的特定安全性群組
授予每個安全性群組的特定權限
設定監控管理操作的所有稽核設定
表格 4 是用來記載角色執行個體的範本。
表格 4 記載指定角色執行個體範本 (及範例值)
欄位 |
指派資訊 |
|---|---|
角色執行個體名稱: |
Contoso Sec Pol Admins |
執行個體: |
安全性原則 Admins |
執行個體數量: |
第一個,共一個 |
指派管理員: |
Michael Allen |
指派工作: |
無自訂,依據 Microsoft 所建議角色指派工作。 參考文件位於:文件位置 |
安全性群組 |
在實作階段提供 |
權限指派 |
在實作階段提供 |
注意 |
這個角色成員係依據芝加哥 安全性查核需求而定,所有管理員均符合 |
服務管理委派模型實作
實作服務管理委派模型涉及建立代表角色執行個體的安全性群組,以及授予這些安全性群組充分的權限 (由相對應安全性群組的成員代表) 來完成所指派的責任。整個實作處理是由服務擁有者所信任的精選服務管理員來執行,並依據委派模型準確地委派管理角色。這些管理員通常是 Enterprise Admins 群組的成員。
要實作每個角色,管理員的責任就是讓服務管理委派模型執行下列的一般工作:
定義一個位置來儲存代表所有角色執行個體的安全性群組。
建立一個代表角色的新群組,或為每個角色執行個體指定現有的預設管理群組 (例如,Schema Admins)。
請執行下列動作以啟用每個角色執行個體:
指派權限集體組 (需要執行指派給角色的所有管理工作集合) 給代表指定角色執行個體的安全性群組。
指派使用者權限集合組 (需要執行指派到角色上所有的管理工作集合) 到代表特定角色執行個體的安全性群組上,而該角色負責管理員在系統所必須執行的所有操作 (通常是網域控制站)。
藉由新增指派管理員的使用者帳戶到適當群組中,來委派已經啟用的角色。
請確定用以實作該角色的群組只用在這個角色上,而且只包含指派的管理員做為成員。
儲存服務管理的安全性群組
多數服務管理的安全性群組會在樹系根網域中建立,並在此進行管理。因此,最好在特定的位置中建立與儲存代表服務管理角色執行個體的安全性群組,這樣就很容易管理這些執行個體。
在樹系根網域中,直接在網域物件下建立一個 OU。將 OU 命名為「服務管理」或一個能適切傳達出 OU 目的的類似名稱。
圖 1 顯示具有服務管理 OU 的網域階層。
.gif "Dd164311.actdid28(zh-tw,TechNet.10).gif")
圖 1 服務管理群組帳號 OU
建立或指派安全性群組
表格 5 顯示代表不同服務管理角色執行個體的安全性群組,所建議使用的名稱清單。
表格 5 服務管理角色執行個體的建議名稱
服務管理角色 |
建議名稱 |
|---|---|
樹系設定操作員 |
樹系名稱 樹系設定操作員 |
網域設定操作員 |
網域名稱 網域設定操作員 |
安全性原則管理員 |
樹系名稱 安全性原則管理員 |
服務 Admin 管理員 |
樹系名稱 服務 Admin 管理員 |
網域控制站管理員 |
網域名稱位置 DC Admins 位置可參考:
|
備份操作員 |
使用事前定義的備份操作員群組擔任這個角色 |
結構管理員 |
使用事前定義的結構 Admins 群組擔任這個角色 |
複寫管理管理員 |
樹系名稱 複寫管理管理員 |
複寫監控操作員 |
樹系名稱 複寫監控操作員 |
DNS 管理員 |
樹系名稱 DNS 管理員 |
啟用服務管理管理角色執行個體
本文件所附的<Active Directory 委派管理最佳實務:附錄>中的<附錄 L:服務管理委派角色實作>提供實作每個服務管理角色的指導方針,並提供實作每個角色所應賦予的權限組。藉由賦予每個角色的權限組來啟用每個角色執行個體,以實作每個角色執行個體。
保護服務管理管理角色執行個體
在實作服務管理管理角色執行個體後,建議適當保護代表不同管理角色執行個體及其成員的所有安全性群組。
其中一種方式就是讓代表某個角色執行個體的每個安全性群組,成為由 AdminSDHolder 物件所保護的其中一個預設服務管理員群組的成員之一。特定的管理角色執行個體可由 Active Directory 中現有的服務管理員群組來代表–而這些安全性群組並不需要是另一個服務管理員群組的成員。這可確保只有 Service Admins 管理員和 Enterprise Admins 可修改所有服務管理帳號和管理角色的成員。
建議最好讓在指定網域中列印操作員群組的所有群組成員到代表所屬角色的安全性群組中,並由列印操作員上將載入和卸載裝置驅動程式權限拿掉 (修改在每個網域中的預設網域控制站安全性原則)。這將確保代表管理角色的所有安全性群組都在保護之下。注意,列印操作員群組並無特殊之處。只建議使用這個群組來保護服務管理角色執行個體,因為它是最少使用的服務管理群組之一。
委派角色執行個體
若要委派角色執行個體,必須在模型建立階段新增指派給每個角色的所有管理員的使用者帳戶,以修改代表每個角色個別安全性群組的群組成員。
別忘記更新每個角色的文件,註明指派權限的集合組,以及用以實作每個服務管理角色執行個體的特定安全性群組等詳情。
維護服務管理委派模型
在大多數的作業狀況下,服務委派模型只需要最少的維護。維護服務委派模型所需工作包括:
將成員新增 (委派) 到服務管理角色執行個體,或將成員從其移除 (取消委派)
在基礎結構變更時新增角色執行個體,但不限於:
新分公司站台的新增 (站台具有業務單位網域的網域控制站)
分公司站台的移除
由角色定義中指派或撤銷一項新增或現有的工作來修改角色
在出現需求時建立新的自訂角色
藉由撤銷賦予代表角色群組的所有權限以完全取消角色委派
自角色執行個體中新增或移除成員
若要由現有的角色執行個體中新增或移除成員,只要簡單地修改代表該角色的安全性群組成員即可。
新增新的角色執行個體
若要新增一個新的角色執行個體,請遵照本文稍早在<服務管理委派模型實作>中所列出的步驟 2 到 4。
修改角色定義
若要修改現有的角色定義,請執行下列步驟:
藉由新增一項新工作並移除現有工作,來修改指派給某個指定角色定義的管理工作記錄集。
請依下列方式,確認該角色所有現有的執行個體,並適當修改賦予該角色的權限:
如果角色新增了新工作,請參照本文所附的<Active Directory 委派管理最佳實務:附錄>中的<附錄 A:Active Directory 管理工作>決定委派新工作所需的最小和精確的權限集,並適當地為代表該角色特定執行個體的安全性群組,授予之前所決定的權限集 (如<附錄 A>所示)。
如果由角色定義中移除現有工作,請參照本文所附的<Active Directory 委派管理最佳實務:附錄>中的<附錄 A:Active Directory 管理工作>決定委派新工作所需的最小和精確的權限集,接著確定不需要相同的抵償權限 (或甚至其中之一),才能執行角色定義中的任何其他工作,並且對於代表該角色之特定執行個體的安全性群組,適當地撤銷所指派的權限 (如<附錄 A>所示)。
建立新的自訂角色
若要建立新的自訂角色,請執行下列步驟:
瞭解並記載新角色的目的。
指派管理工作集給新的角色。
決定在委派稍早所確認的管理工作集時,所需的最小和精確的權限集。
記載必須在目錄中 (或是可能在檔案系統或登錄,以及網域控制站上的群組原則) 套用權限的一般範圍 。
若要啟用這個角色的新執行個體,請遵照本文稍早在<服務管理委派模型實作>中所列出的步驟 2 到 4。
取消委派角色執行個體
若要取消委派目前的角色執行個體,請執行下列步驟:
撤銷所有授予到代表特定角色執行個體安全性群組的權限。這可能會涉及撤銷網域控制站安全性原則中的使用者權利。
或者,也可清理代表特定角色執行個體安全性群組的群組成員。
若要確保所有權限均被移除,仔細檢查文件並確保權限已從最初授予的所有位置上移除。
注意
Dsrevoke.exe 是一個可以自動撤銷權限的命令列工具,可以用來撤銷委派授權,但是只有在 OU 上。由於多數由服務管理角色權限所保護的資料,是儲存在 Active Directory 中的設定和結構目錄磁碟分割中,或在檔案系統甚至網域控制站的登錄中,因此通常需要手動中斷來取消委派服務管理角色。
建立自訂角色涉及使用本章稍早所提到的委派處理來確認工作,並將其對應到群組、設定權限和權利,然後接著擴展群組。這對於臨機操作角色也是一樣,這些角色會在沒有必要存在時移除。
下载
AD_Delegation.doc
2471 KB
Microsoft Word 文件