Sediakan Direktori Aktif untuk Mendukung Pentadbiran Tiered dan Workstation Access Privileged

Di dalam ini Tanya Pentadbir, Saya akan membincangkan penubuhan Active Directory untuk menyokong model pentadbiran bertingkat dan Workstation Access Privileged (PAWs).

Pada penghujung tahun lepas, saya menulis beberapa catatan tentang cara untuk mentadbir Active Directory dengan selamat. Beberapa konsep dalam artikel tersebut mungkin baru kepada anda, seperti prinsip sumber bersih dan pentadbiran berperingkat. Sekiranya anda perlu merakamkan topik tersebut, lihat Menguruskan Akses Keistimewaan ke Direktori Aktif, Kenapa Anda Harus Menggunakan Model Pentadbiran Tahap Aktif Microsoft Active, dan Selamat Direktori Aktif Menggunakan Prinsip Sumber Bersih on Petri.

Saya juga menyebut Workstation Access Privileged, yang menggunakan pemasangan Windows khusus untuk tugas pengurusan Active Directory yang sensitif. PAW dikekalkan untuk melindungi mereka daripada ancaman yang mungkin berleluasa di stesen kerja pengguna. Pemisahan tugas dan akaun dari stesen kerja dan akaun yang digunakan untuk tugas pengkomputeran harian membantu melindungi Direktori Aktif dari kelemahan dan pelbagai jenis serangan.

Pada asalnya, saya akan menulis satu jawatan mengenai penubuhan Workstation Access Privileged. Tetapi Microsoft mempunyai set arahan yang baik di sini yang boleh anda ikuti dengan gambaran keseluruhan seni bina terperinci. Bagaimanapun, saya akan memberikan ringkasan proses di bawah. Tetapi ingat bahawa arahan sering dikemas kini, jadi saya cadangkan anda merujuk kepada arahan terperinci Microsoft.

Arahan termasuk pautan ke set skrip PowerShell yang menubuhkan struktur Unit Organisasi (OU) dan kumpulan yang diperlukan untuk menguruskan PAW. Struktur OU melebihi apa yang diperlukan untuk PAW dan menyediakan segala yang diperlukan untuk pentadbiran peringkat. Anda boleh memuat turun skrip sebagai arkib zip di sini dari galeri TechNet.

Buat Struktur OU dan Objektif Dasar Kumpulan dalam Direktori Aktif

Saya bermula dengan menjalankan tiga skrip dalam susunan berikut: Buat-PAWOUs.ps1, Buat-PAWGroups.ps1, Set-PAWOUDelegation.ps1. Sebagai tambahan kepada skrip, anda perlu membuat dua objek Dasar Kumpulan (GPO) secara manual, Konfigurasi PAW - Komputer dan Konfigurasi PAW - Pengguna, dan menghubungkannya dengan OU yang berkaitan, 0AdminDevices Peringkat dan Tahap 0AdminAccounts masing-masing. Dalam gambar di bawah, anda boleh melihat struktur OU itu Buat-PAWOUs.ps1 mencipta.

Struktur OU Direktori Aktif dicipta oleh skrip PowerShell Microsoft (Image Credit: Russell Smith)

Struktur OU Direktori Aktif Dicipta oleh Skrip PowerShell Microsoft (Kredit Imej: Russell Smith)

Berikut adalah senarai kumpulan yang dibuat oleh Create-PAWGroups.ps1:

  • Penyelenggaraan Replikasi 0
  • Penyenggaraan Server 1
  • Operator Meja Perkhidmatan
  • Penyelenggaraan Workstation
  • Pentadbir Perkhidmatan Awan
  • Pengguna PAW
  • Penyelenggaraan PAW
  • Pentadbir 1
  • Pentadbir 2

Perhatikan bahawa tiada kumpulan Tier 0 Admin. Ini kerana pentadbir Tier 0 perlu ditambah kepada kumpulan Pengguna PAW. Perlu diingat bahawa kumpulan Pengguna PAW tidak sepatutnya menjadi ahli kumpulan Pentadbir tempatan mengenai PAW untuk menghalang pengguna mengubah suai tetapan keselamatan PAW.

Tetapan GPO mesti dikonfigurasi secara manual. Kecuali aturan Windows Firewall, yang boleh diimport dari fail termasuk dalam arkib zip. Apabila mengkonfigurasikan keutamaan Kumpulan Tempatan, pastikan anda mematuhi arahan Microsoft dengan berhati-hati, dengan mengambil perhatian terhadap keperluan yang tidak menggunakannya Semak imbas butang untuk penyertaan tertentu. Ini adalah untuk memastikan anda menyertakan akaun dan kumpulan tempatan dan bukan akaun dan kumpulan AD.

Tetapan konfigurasi untuk GPOs akan membawa anda sedikit masa untuk disiapkan. Ini hanya satu kes yang teliti mengikuti dengan arahan. Sebagai tambahan kepada dua GPO PAW, terdapat beberapa GPO lain yang harus anda buat:

  • TerbatasAdmin Diperlukan - Komputer
  • Hadkan Logstik Workstation
  • Hadkan Logon Pelayan

Mewujudkan Objektif Dasar Kumpulan untuk Workstation Access Privileged (Kredit Imej: Russell Smith)

Mewujudkan Objektif Dasar Kumpulan untuk Workstation Access Privileged (Kredit Imej: Russell Smith)

Mewujudkan Hadkan Logon Pelayan GPO dan hubungkannya ke Pelayan 1 Server OU. GPO ini akan menghalang akaun Tier 0 masuk ke pelayan Tier 1. The Hadkan Logstik Workstation GPO harus dikaitkan dengan Stesen kerja OU dan menghalang pentadbir Tier 0 dan Tier 1 daripada log masuk ke stesen kerja. Akhirnya, TerbatasAdmin Diperlukan - Komputer GPO menguatkuasakan / TerbatasAdmin suis untuk sambungan jauh Desktop Keluar.

Sebagai tambahan kepada GPO yang disenaraikan di atas, anda perlu membuat dan menghubungkan GPO baseline keselamatan, yang anda boleh buat menggunakan templat keselamatan asas Microsoft yang disediakan dalam Toolkit Pematuhan Keselamatan (SCT). Untuk maklumat lanjut mengenai penggunaan SCT, lihat Microsoft Lancar Toolkit Pematuhan Keselamatan 1.0 on Petri.

Menyediakan Workstation Access Privileged

PAW harus dibina menggunakan Prinsip Sumber Bersih dan terputus dari rangkaian semasa Windows 10 sedang dipasang. Untuk maklumat lanjut mengenai Prinsip Sumber Bersih, lihat Selamat Direktori Aktif Menggunakan Prinsip Sumber Bersih dan Mengesahkan Integriti Media Pemasangan on Petri.

Setiap PAW memerlukan kata laluan pentadbir tempatan yang kuat dan unik. Anda harus menggunakan Penyelesaian Kata Laluan Pentadbir Tempatan (LAPS) untuk menguruskan kata laluan pentadbir tempatan pada PAW dan peranti yang disambungkan dengan domain lain. Untuk maklumat lanjut mengenai LAPS, lihat Akaun Administrator Tempatan Secepat dengan Alat Penyelesaian Kata Laluan Pentadbir Tempatan (LAPS) on Petri.

Untuk menyertai PAW ke domain anda, Add-Computer cmdlet, buka PowerShell sebagai pentadbir setempat. Anda perlu mengubah baris arahan di bawah supaya nama domain anda yang berkelayakan (FQDN) AD digunakan dan bukannya ad.contoso.com in -OUPath dan nama domain FQDN anda digunakan -Nama domain. Apabila anda menjalankan Add-Computer, anda akan diminta untuk memasuki kelayakan domain yang anda ingin gunakan untuk menyertai PAW ke domain.

Add-Computer -DomainName ad.contoso.com -OUPath "OU = Devices, OU = Tier 0, OU = Admin, DC = ad, DC = contoso, DC = com"

Bergabung dengan Workstation Access Privileged ke domain (Image Credit: Russell Smith)

Bergabung dengan Workstation Akses Keistimewaan ke Domain (Kredit Imej: Russell Smith)

Akhirnya, jalankan gpupdate / force / sync untuk mengemaskini Dasar Kumpulan dan memaksa PAW untuk memulakan semula. Sekarang PAW disatukan ke domain dan dikonfigurasikan, ahli kumpulan Pengguna PAW boleh log masuk.

Sponsor

Dalam artikel ini, saya menunjukkan kepada anda bagaimana untuk menyediakan Direktori Aktif untuk pentadbiran berjingkat dan Workstation Access Privileged. Terdapat perincian penting, seperti memasang alat pentadbiran jauh dan mengkonfigurasi Kemas Kini Windows, yang hilang dari gambaran saya. Untuk senarai langkah lengkap, pastikan untuk memeriksa arahan terperinci Microsoft di sini.

Jawatan Sediakan Direktori Aktif untuk Mendukung Pentadbiran Tiered dan Workstation Access Privileged muncul pertama pada Petri.

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.