Active Directory管理涵盖一系列任务,包括设置域和林、使AD保持有序且正常、妥善管理组策略,以及通过一个全面的备份和恢复流程确保业务连续性。
建立健全的AD结构
建立健全的AD结构,或清理已有的AD结构,这对实现高效的Active Directory管理至关重要。它将显著简化组策略管理,帮助您正确委派管理权限,从而在不牺牲安全性的情况下分散管理工作负载,以及精简诸如用户帐户配置与报告等常见任务。
建立域
建立域
AD管理的基本单位是Active Directory域 — 存储在单个AD数据库中的一组相关用户、计算机、打印机及其他AD对象。域应是相当稳定的实体,必须进行仔细设置。例如,贵公司芝加哥办事处有一个域,旧金山办事处又有一个独立的域。域是管理边界,因此芝加哥管理员无法删除旧金山域中的用户,旧金山管理员也无法修改芝加哥域中用户的权限。
创建组织单位
创建组织单位
为简化AD管理,每个域中的对象分组为组织单位(OU)。组织单位通常可反映组织的结构;例如,您可以为芝加哥办事处的每个部门设置一个组织单位:销售、市场营销、IT、法务等。有些组织单位可以是临时性的 — 您可以为不同的项目创建组织单位并在项目结束后予以解散。不过,应系统地进行这些更改,这一点至关重要;允许临时修改必然导致AD结构混乱,使其更难以理解和管理。
定义您的架构
定义您的架构
仔细考虑数据库架构。此架构包含可创建的每个对象类以及AD对象可能具有的每个属性的正式定义。Active Directory附带有默认架构,但您可能需要对其进行调整以满足您的特定业务需求。务必在规划阶段仔细设计架构,因为AD在身份验证和授权中发挥着核心作用,以后对架构进行更改会严重扰乱您的业务。
使用标准命名规范
使用标准命名规范
务必跨所有级别(域、业务单位、架构)制定并遵循标准化的命名规范。这样,每个人都可以更轻松地联系正确的用户或识别特定会议室中的计算机。实现AD安全组命名系统化特别重要,这样您可以轻松准确地配置和重新配置用户。此外,对每个安全组的目的进行清晰描述也是比较明智的做法。添加描述只需要几分钟,但可以帮助您避免以后出现严重问题。
监控AD运行状况
IT环境是不断发展变化的;无论您对域、组织单位、架构等的规划有多完美,都不能只是设置Active Directory后就将其忘在一边。用户、计算机、打印机及其他AD对象来来去去,因此您需要拥有相应的配置和取消配置程序,并且这些程序应尽可能地通过经批准的工作流实现自动化。此外,您还应定期识别不活动的用户和计算机帐户,以便进行清理,避免它们被滥用。
更广泛地说,您还需要实时监控域控制器的运行状况以及在域控制器之间复制数据的情况。否则,用户很可能会在登录或访问他们执行工作所需的资源时遇到问题。
Microsoft提供多个Active Directory管理工具,包括Windows PowerShell、Active Directory用户和计算机(ADUC)、本地用户和组,以及用于Microsoft Management Console (MMC)的Active Directory架构管理单元。不过,原生工具功能有限;很难使用,要不断切换工具;而且,任务通常也是手动的,耗时费力且容易出错。
密切跟踪服务帐户
密切跟踪服务帐户
与典型用户帐户相比,脚本和应用程序通常需要更多访问权限。但是,您不应使用管理帐户;这通常会授予应用程序超过其所需的访问权限,而且会使您的管理员帐户面临更大的入侵风险。相反,最佳做法是为每个应用程序创建一个服务帐户,并根据最低权限要求,仅授予该帐户其所需的权限。
但是,不要忘记这些帐户。服务帐户可以访问IT环境中的重要资源,因此必须跟踪每个服务帐户在做什么,这一点至关重要。主动寻找任何异常或不必要的活动,这些活动可能表明帐户已被入侵和被滥用。
管理组策略
管理组策略
Active Directory管理的另一重要方面是管理组策略。组策略是一个策略集(称为组策略对象(GPO)),可应用到整个域或仅应用到特定组织单位。例如,您可以使用组策略要求芝加哥域中的所有用户使用复杂密码,或禁止在芝加哥域中的财务组织单位中的所有计算机上使用可移动介质。Microsoft提供数以百计可供配置的GPO。
组策略的功能非常强大,必须对其进行正确设置并妥善管理其更改,这一点至关重要。对GPO进行哪怕一次不当更改便可能导致停机或安全漏洞。遗憾的是,原生工具无法轻松控制组策略。
- 禁用PST文件创建
- 将常用站点添加到用户的浏览器
- 映射有用的网络驱动器
- 在所有计算机上设置自定义注册表值
- 将标准操作系统和其他软件部署至所有Windows Server机器及其他计算机
- 在计算机启动或关闭或者用户登录或注销时运行某些脚本
实施变更控制
实施变更控制
对Active Directory或组策略的任何不当更改(无论是故意更改还是意外更改)都可能导致关键服务中断并阻止合法用户访问资源,从而影响业务运营。为避免出现问题,请务必规划、记录并测试所有更改,并且确保您可以回滚任何导致意外问题的更改。
此外,能够防止对重要AD对象(包括强大的管理安全组和关键GPO)进行更改这一点也非常重要。Quest Change Auditor和GPOADmin精简了变更控制,从而增强了Active Directory管理。
确保业务连续性
最后但同样重要的是,妥善的Active Directory管理可确保业务连续性。这可通过可靠的备份与恢复流程以自动化重复AD任务来实现。
备份与恢复
备份与恢复
为确保工作效率和业务连续性,您需要定期备份AD,并且需要能够在整个林中的对象和属性级、目录级以及操作系统级从任何事件或灾难中快速恢复。虽然通过AD回收站可以快速恢复一些最近删除的对象,但它不是也从来没打算成为企业级备份和恢复解决方案。
国际航运巨头Maersk是2017年NotPetya攻击的受害者,其案例充分说明了拥有完整可靠的Active Directory备份的重要性。在恶意软件被释放到其网络的几个小时内,Maersk实际上就已陷入瘫痪。在其全球150个域控制器中,几乎所有域控制器都停止运行,而且该公司没有一个Active Directory备份可用于恢复操作。不过,对该公司而言,幸运的是,其位于加纳的一个域控制器在恶意软件攻击时碰巧处于离线状态,这意味着其数据仍完好无损。然而,加纳办事处的带宽太慢,从域控制器上传数据要花上数天时间,而该办事处没有人持有英国签证,因此恢复团队不得不开展一场接力赛(包括数小时的飞行)以将这台宝贵的机器带至该公司位于英国的总部。但可喜的是,他们最后得以使用这台机器重建其他域控制器。
自动化AD任务
自动化AD任务
很多Active Directory管理任务都非常繁琐耗时,这增加了任务延迟或执行不正确的风险。自动化可以大幅减轻IT工作量,同时消除人为错误,确保及时完成重要但常规的任务。例如,以下所有任务都是至少可以在某种程度上实现自动化的主要候选任务。
- 用户帐户创建、修改和删除
- 计算机配置和弃用
- 软件部署与修补
- 清点
- 报告
- 目录清理
我可以从何处详细了解Active Directory?
Active Directory对于各种现代企业都至关重要。查看这些附加实用页面,以了解Active Directory关键领域的最佳做法:
博客
The anatomy of Active Directory attacks
Learn the most common Active Directory attacks, how they unfold and what steps organizations can take to mitigate their risk.
8 ways to secure your Active Directory environment
Taking the right steps to secure your Active Directory has never been more critical. Learn 8 Active Directory security best practices to reduce your risk.
Active Directory forest: What it is and best practices for managing it
Active Directory forest is a critical — but often underappreciated — element of the IT infrastructure. Learn what it is and how to manage it.
Active Directory disaster recovery: Creating an airtight strategy
Businesses cannot operate without Active Directory up and running. Learn why and how to develop a comprehensive Active Directory disaster recovery strategy.
5 Active Directory migration best practices
Active Directory delivers key authentication services so it’s critical for migrations to go smoothly. Learn 5 Active Directory migration best practices.
Active Directory security groups: What they are and how they improve security
Active Directory security groups play a critical role in controlling access to your vital systems and data. Learn how they work.