对于一个Windows域而言,活动目录(Active Directory即AD)结构和其中包含的信息至关重要。如果没有对活动目录设置适当的安全参数,你有可能错误的授予用户他们并不需要的权限。当安全配置出现问题时,活动目录结构并不会宽恕这一错误。如果你把不合适的权限交给不适当的人的手中,那么这可能会让你不得不对整个域进行彻底的重新安装。这就是为什么要采取如下三个步骤来对活动目录进行更好的保护的原因。这些步骤包括:计划(plan),授权(delegate)和审计(audit)。
计划
首先要勾勒出你所在公司的部门结构。然后使用图表来创建自己的组织单元(organisational units即OUs),根据其在企业中的意义来对这些单元命名。
这样做的原因有两方面。通过设计组织单元和对其命名,你可以为所有的用户、用户组还有所有的硬件指定逻辑位置。在通过Group Policy Editor(组策略编辑器)进行操作时,这将极大地简化管理难度,使你对域的管理更为轻松。
此外,创建自己的组织单元将可以使你有机会对不同的组织单元类型设置不同的安全策略。这非常重要,因为活动目录中所建立的组织单元的默认安全设置并不像它们所需要的那样严格。
授权
对活动目录域的管理是件麻烦的事情,不应该让同一个人或同一帐户对所有的控制负责。将过多权限指定给某个帐户将会造成巨大灾难:如果入侵者窃取了此帐户或是持有此帐户的用户工作时中途离开,那么整个域就会处于危险之中。
因此,你的活动目录配置应当包括以下两种类型的系统管理员:数据管理员和服务管理员。这样的方式将有助于分散权限,从而巩固安全强度。
