Active Directory, скрыть объекты от Authenticated Users?

Привет!

С AD никогда плотно не работал, оттого возник вопрос правильной организации безопасности.
В куче best practice мануалов рекомендуют, например, отключите встроенного Administrator, вместо него создайте другого юзера с тем же набором привилегий. Более того, эту супер привилегированную учетку не юзайте почти никогда, а, мол заведите себе для администрирования несколько учеток, с разным уровнем привилегий. Ок, вроде толково.

Но вот все Authenticated Users могут просматривать все объекты домена, в т.ч атрибуты юзеров и вычислить, кто же там имеет привилегии Domain User и т.д. Да и просто видеть структуру домена (которая очень часто говорит о структуре организации)
Нашел примеры ,как можно эту видимость отключить (причем, по хорошему, надо бы чтобы юзеры не видели ничего дальше своих OU) https://windowsnotes.ru/activedirectory/active-dir...
Однако тут уже предлагают редактировать с помощью ADSIEdit, что в большинстве случаев не рекомендуют. Плюс где-то натыкался на упоминания, что подобное поведение может привести к проблемам работы GPO (ибо юзеры не будут их видеть), хз насколько правда.

Как вы решаете этот вопрос? Надуманная ли вообще проблема?
  • Вопрос задан
  • 135 просмотров
Пригласить эксперта
Ответы на вопрос 2
vesper-bot
@vesper-bot
Любитель файрволлов
Authenticated Users - это в первую очередь именно авторизованные пользователи, т.е. если вы что-то хотите спрятать от них, значит, предполагаете, что у вас в сети есть легальный крот. Как по мне, прятать есть смысл только имена привилегированных учеток (т.е. сами объекты), при этом оставить доступ хотя бы для domain computers, иначе рискуете поиметь проблем, когда придется логиниться под ними в домен.
По поводу статьи - описанное изменение не должно поломать GPO, так как разрешения на них вам желательно не исправлять, а прятать только нечто более-менее критичное с точки зрения безопасности, а-ля группы domain admins и подобное. А прятать сами OU и других пользователей несколько нелогично, можно поломать что-то из инфраструктуры неочевидным образом (скажем, сбор адресной книги Exchange'м).
Использование ADSIEdit в статье может быть оправдано, но только в той мере, в которой указано, а иногда и меньше, но конкретно этот параметр описан тут https://docs.microsoft.com/en-us/openspecs/windows... и тут сказано, что если вдруг в параметре есть хоть что-то, менять стоит только один символ - в данном случае третий слева. И конкретно это изменение само по себе ничего не сломает.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Если я чешу в затылке - не беда!
Совет отключить юзера Administrator - он в общем-то правильный. Совет не работать с админскими правами - тоже. Завести себе учетку типа vasyan и работать под ней, а для задач администрирования использовать что-то типа adm_vasyan. Правда, это неудобно и этим правилом обычно пренебрегают.
А вот модифицировать что-то в схеме AD вообще - это чревато проблемами. Софт, даже от M$ может ничтоже сумняшеся полагать что нечто находится в некотором состоянии, в котором оно находится всегда. Если в Вас оно не так - получите совершенно непонятную ошибку или программа просто работать не будет.
Если нужно спрятать некоторые обьекты - ну создайте отдельное OU, дайте необходимые права, остальные отберите.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы