欢迎来到天天文库
浏览记录
ID:27569501
大小:368.71 KB
页数:29页
时间:2018-12-03
《activedirectory管理委派最佳实践》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、ActiveDirectory管理委派最佳实践服务管理涉及对ActiveDirectory因录服务在因泶服务交付过程中需要提供安全性和可雜性的所冇力*面进行管现。服务管理的整体职责进将管理任务委托给负责规划和K期维护ActiveDirectory基础结构的服务所有者,确保目彔能够持续冇效地工作,同时确保达到服务水平协议所建立的10标。为了实现这些标,服务所冇吝创建了一个管理委派模型,以将不同的管理职责分配给不同的服务管理员。因此,服务管现员就像足服务所有考的左膀右臂。服务所有齐从他们的服务竹理员屮挑选出一小飢W度可靠11貝•有W超技能
2、的竹•理员并赋予这-小组符理员最W的管理特权,将他们指定为森林的“企、Ikrt•理员”(EnterpriseAdministrators)。服务所有吝负责创建服务管理的委派模型,服务管理员则负责在模型的创建过程中帮助服务所有者,为其捉供一个操作前呆,M屮包括系统的功能和局限。在一个设汁良好的服务管理委派模揪创逑完成之后,“企业管理员”便会实施此委派模型,委派管理服务的管理员小组执行K•各ft的分妃职责,本章就如何在ActiveDirectory环境屮使用委派来为服务管理的各个方ifti提供覆盖管理提供了指异信息。本章概述了服务管理的不
3、同组成类别,并就如何以富于安全意识的方式冇效地委派服务管理的芥个万而提供了一些建议、为了帮助服务所有者创建服务委派投型,并帮助商级管理员实施此投型,木章捉供了以下信息:•需要符理的服务任务类别概述•默认的服务管理组及M•特权级別概述•关于如何使川服务管理角色以一种有效目.宫于安仝®识的方法来委派各种服务管理职责的建议•实施服务委派模型的最佳实践:为每个竹现角色创建竹现纽、分配适当的权限并向组添加成员本页内容Jr委派服务管观过程中的特权级脈事项a述议采取的服务管理法a服务管现概述a创建服务管观委派模型a实施服务管理委派模制易维护服务管理
4、娄派校吧委派服务管理过程中的特权级别注意事项与委派竹理的概念密切相关的足其隐念的含义:既然委派涉及到向特权较低的竹理员赋予执行特定竹理任务的能力,则通常会引发一些联想,即被委派管理的任务无论在其本质、范围还足影响方面都应该具有较低的安全隐患,且执行此任务所涉及的特权不能与委派此任务的管理员所爲有的权限相捉并论U这个念义具冇普遍意义,并不只适川于服务管理委派。巾于服务管理涉及到提供管理银盖以确保ActiveDirectory目录服务交付过程中的安全性和可靠性。因此,由其本质出发,很容鉍引发以下联想,即在提升安全性和可靠性过程屮所涉及的人
5、多数管理任务通常都会对安全水平和LI诚服务的可用性产生明显的影响。由于某些管理任务是对安全性极度敏感任务,会对整个森林产生影响,因此要求具各高级特权,而大多数管理任务都不要求具备这种萵级特权。要求具备岛级特权的管理任务应当只委托给那些敁位得信赖H.鉍具经验的管理员组。hi然人多数服务管理的竹理任务都不要求只备菇级特权,但它们还是要比那些数据管理任务所需的特权耍岛一些,而II应将这些任务分配给那些仉得充分信赖的人员。在寻找和维护具备此类技能水平和可靠程度的管理员方而所消耗的人力成木占组织成木的相当火一部分。为了最小化运营总成本并增加Ac
6、tiveDirectory环境的安全水平,应将安全要求相对较低的服务管理任务职责委派给讨靠稈度及技能水〒稍低的竹理员,并藉此将最仉得依赖JI最爲经验的管理员人数降至最低。S外,由于人量不必要管理证书的恶意使用、无意使用以及粗心使用可能导致无可挽回的损失(例如偶然删除数据、无意将错误值分配给敏感数据,以及对®要服务的不恰当配置),因此应当明确这样一个概念,即仅赋予服务管现员执行所分配管理任务所需级别的管理权限,不再为K分况It•他的权限。例如,默汄情况K,“DomainAdministrators”(域竹理员)和"EnterpriseA
7、dministrators”(企、IkfT理w)有权执行ActiveDirectory屮的所冇服务管理任务。这些任务中的大部分任务都不要求具备高级特权,可以委派给具冇较低特权的管理员來执行,以便降低谥可信赖,具有谥商特权的管现员人数,同吋降低对此类商级特权被滥川或恶意使川的机会。鉍终,委派的目的进明确分离界项分配职责,使得服务管理更ii于操作,并增强ActiveDirectory环境的责任及安全价位。例如,将涉及淼林范围内S制的齐方而职责(仅限淼林范围内的fi制)分配给特屯的管理组不仅可以确保将主要服务方而纳入管理范畴,还可增强责任并
8、确保服务正确交付。例如,在发生复制M题时,卉-个明确的管理敁组负责协调此问题,1L该组矜理员应当为此事件负责,因为其屮的符理员苻恶意执行鉍制扣关符理任务的嫌疑。基于所窗这些原W,服务管理的委派不一足涉及特权较低的受委派管
此文档下载收益归作者所有