07.12.2011

Active Directory. Некоторые вопросы безопасности.

При добавлении компьютера в домен AD необходимо его предварительное размещение (создание учетной записи компьютера в AD). Это обусловлено некоторыми аспектами безопасности.

При присоединении компьютера к домену без его предварительного размещения, учетная запись компьютера создается в контейнере по умолчанию (Computers). Этот контейнер уступает по возможностям организационному подразделению и соответственно к компьютеру, включенному в этот контейнер не будут применяться объекты групповой политики, скрипты входа и выхода. Чтобы сменить контейнер по умолчанию, необходимо выполнить команду redircmp "DN_подразделения для новых объектов компьютеров" (например так redircmp ou=newcomputerou,dc=domainname,dc=com). Тогда новые компьютеры по умолчанию будут создаваться в указанном подразделении.

Если учетная запись компьютера не была размещена предварительно, то Windows позволяет любому, прошедшему проверку подлинности создать объект компьютера в контейнере по умолчанию. Это является брешью в безопасности. По умолчанию любому, прошедшему проверку подлинности, разрешено создать до 10 компьютеров. Эти данные указаны в атрибуте ms-DS-MachineAccountQuota домена. Рекомендуется установить значение 0. После присвоения этому атрибуту значения 0 присоединять компьютеры к домену смогут только те пользователи, которым явным образом делегированы разрешения на присоединение к предварительно размещенным объектам компьютеров или создание новых компьютеров.

1 комментарий:

  1. Очень сильная ИТ компания по разработке програмного обеспечения http://www.intellias.com/

    ОтветитьУдалить