Andre Asked: 2014-04-28 06:43:05 +0800 CST2014-04-28 06:43:05 +0800 CST 2014-04-28 06:43:05 +0800 CST AD 只读帐户(用于身份验证) 772 我有 Linux 服务器管理方面的经验,但是对于 Windows,我几乎是个新手。 我有很多第三方应用程序使用 AD 管理员帐户对企业 Active Directory 执行身份验证。我总共发现了 40 多个管理员帐户,从合规监管的角度来看,这是一个危险信号! 我确信有办法克服这种情况。我的目的是让一个仅 AD 就绪的帐户能够查询 AD Forrest 并在用户名/密码是否有效时返回应用程序。此帐户不得有任何写入。 对于这种情况,您有什么建议? active-directory 2 个回答 Voted Trinue 2014-04-28T06:53:03+08:002014-04-28T06:53:03+08:00 只需创建一个属于域用户组成员的用户帐户。该帐户对目录的其他对象(除了它自己)没有任何写权限。 如果您需要一些更高级的服务帐户,Windows 2008 R2 有一个叫做托管服务帐户的东西。我从未使用过它们,但看看它们不会有什么坏处: http://technet.microsoft.com/en-us/library/dd560633%28v=ws.10%29.aspx http://technet.microsoft.com/en-us/library/dd548356%28v=ws.10%29.aspx 希望能帮助到你 ;) Best Answer Brad Bouchard 2014-04-28T08:06:01+08:002014-04-28T08:06:01+08:00 首先,当您说 40 个管理员级别的帐户时,我假设您的意思是域管理员。这些类型的帐户中有 40 个是危险的,原因有很多,我相信您已经猜到了。我建议做的第一件事是在 Active Directory 中打开域管理员、企业管理员和架构管理员组。打开这些组将让您选择一个名为“成员”的选项卡,以真正查看每个组中有多少人。我命名的三个(域管理员、企业管理员和架构管理员)是最重要的,并且可以最大程度地控制您的域/林,因此您要确保只有您作为系统管理员,并且可能只有少数其他人是管理员自己或您信任的人拥有这些权利。只能说你 但我知道有时在某些情况下您必须让其他人获得这些权利;很少,但确实会发生。以下是域管理员属性的屏幕截图以供参考: 由于您需要一个或多个帐户,这些 3rd 方应用程序才能通过 AD 进行通信/身份验证,因此您要做的下一件事是创建一个 MSA 或托管服务帐户。我已经使用过这些帐户,我可以说我认为归根结底它们比仅在 AD 中使用普通用户帐户要好。不惜一切代价避免授予任何非管理员用户/帐户管理员权限。 我喜欢做并且已经做过的是在 ADUC 中为这些服务帐户创建一个新的 OU,以便它们易于管理并且可以具有某些东西,例如 GPO(如果您不知道组策略对象是管理大量计算机/用户)在需要时更容易应用到他们身上。 您可以通过 Windows PowerShell 创建和管理这些 MSA,但请确保您至少使用 PowerShell 版本 2。创建这些帐户之一的命令就是 Add-ADComputerServiceAccount。可以在此处找到您想要创建此用户的任何其他选项。 MSA 的另一个好处是您可以创建所谓的服务管理员(实际上是 AD 中有权管理这些 MSA 帐户的人),他们可以对这些帐户进行委派控制。这可能对您有好处,因为此人不需要具有域管理员权限,从长远来看,他们可以管理 MSA 帐户,从而为您节省更多时间来处理更重要的系统管理员工作。 有关 MSA 的最佳实践列表,请直接从 MS 目录服务团队查看这篇文章。
只需创建一个属于域用户组成员的用户帐户。该帐户对目录的其他对象(除了它自己)没有任何写权限。
如果您需要一些更高级的服务帐户,Windows 2008 R2 有一个叫做托管服务帐户的东西。我从未使用过它们,但看看它们不会有什么坏处:
http://technet.microsoft.com/en-us/library/dd560633%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd548356%28v=ws.10%29.aspx
希望能帮助到你 ;)
首先,当您说 40 个管理员级别的帐户时,我假设您的意思是域管理员。这些类型的帐户中有 40 个是危险的,原因有很多,我相信您已经猜到了。我建议做的第一件事是在 Active Directory 中打开域管理员、企业管理员和架构管理员组。打开这些组将让您选择一个名为“成员”的选项卡,以真正查看每个组中有多少人。我命名的三个(域管理员、企业管理员和架构管理员)是最重要的,并且可以最大程度地控制您的域/林,因此您要确保只有您作为系统管理员,并且可能只有少数其他人是管理员自己或您信任的人拥有这些权利。只能说你 但我知道有时在某些情况下您必须让其他人获得这些权利;很少,但确实会发生。以下是域管理员属性的屏幕截图以供参考:
由于您需要一个或多个帐户,这些 3rd 方应用程序才能通过 AD 进行通信/身份验证,因此您要做的下一件事是创建一个 MSA 或托管服务帐户。我已经使用过这些帐户,我可以说我认为归根结底它们比仅在 AD 中使用普通用户帐户要好。不惜一切代价避免授予任何非管理员用户/帐户管理员权限。
我喜欢做并且已经做过的是在 ADUC 中为这些服务帐户创建一个新的 OU,以便它们易于管理并且可以具有某些东西,例如 GPO(如果您不知道组策略对象是管理大量计算机/用户)在需要时更容易应用到他们身上。
您可以通过 Windows PowerShell 创建和管理这些 MSA,但请确保您至少使用 PowerShell 版本 2。创建这些帐户之一的命令就是 Add-ADComputerServiceAccount。可以在此处找到您想要创建此用户的任何其他选项。
MSA 的另一个好处是您可以创建所谓的服务管理员(实际上是 AD 中有权管理这些 MSA 帐户的人),他们可以对这些帐户进行委派控制。这可能对您有好处,因为此人不需要具有域管理员权限,从长远来看,他们可以管理 MSA 帐户,从而为您节省更多时间来处理更重要的系统管理员工作。
有关 MSA 的最佳实践列表,请直接从 MS 目录服务团队查看这篇文章。