Сопоставление требований к проектированию с моделями проектирования лесов

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Большинство групп в организации могут совместно использовать один организационный лес, который управляется одной группой информационных технологий и содержит учетные записи пользователей и ресурсы для всех групп, использующих общий лес. Этот общий лес, называемый начальным лесом организации, является основой модели проектирования леса для Организации.

Поскольку в первоначальном лесу организации может размещаться несколько групп в Организации, владелец леса должен установить соглашения об уровне обслуживания для каждой группы, чтобы все стороны понимали, что в них ожидается. Это позволяет защитить как отдельные группы, так и владельца леса, устанавливая согласованные ожидания службы.

Если не все группы в организации могут совместно использовать один организационный лес, необходимо расширить структуру леса в соответствии с потребностями различных групп. Это включает определение требований к проектированию, применяемых к группам в зависимости от потребностей в автономной работе и изоляции и наличия сети с ограниченным подключением, а также определение модели леса, которую можно использовать для удовлетворения этих требований. В следующей таблице перечислены сценарии модели проектирования лесов на основе факторов автономности, изоляции и подключения. Определив сценарий проектирования леса, который наилучшим образом соответствует вашим требованиям, определите, нужно ли принимать дополнительные решения в соответствии с вашими требованиями к проектированию.

Примечание

Если фактор указан как N/A, он не учитывается, так как другие требования также удовлетворяют этому фактору.

Сценарий Ограниченное подключение Изоляция данных Автономность данных Изоляция служб Автономность службы
Сценарий 1. присоединение существующего леса к автономной среде данных Нет Нет Да Нет Нет
Сценарий 2. использование леса организации или домена для автономной работы служб Нет Нет Недоступно Нет Да
Сценарий 3. использование леса организации или леса ресурсов для изоляции служб Нет Нет Н/Д Да Н/Д
Сценарий 4. использование леса организации или ограниченного доступа для изоляции данных Н/Д Да Н/Д Н/Д Н/Д
Сценарий 5. Используйте организационный лес или перенастройте брандмауэр для ограниченного подключения. Да Нет Недоступно Нет Нет
Сценарий 6. использование леса или домена организации и перенастройка брандмауэра для автономной работы службы с ограниченным подключением Да Нет Недоступно Нет Да
Сценарий 7. использование леса ресурсов и перенастройка брандмауэра для изоляции служб с ограниченным подключением Да Нет Н/Д Да Н/Д

Сценарий 1. присоединение существующего леса к автономной среде данных

Вы можете удовлетворить требования к автономности данных, просто разместив группу в подразделениях (OU) в существующем лесу организации. Делегируйте управление подразделениями администраторам данных из этой группы для обеспечения автономности данных. Дополнительные сведения о делегировании управления с помощью подразделений см. в разделе Создание структурыподразделений.

Сценарий 2. использование леса организации или домена для автономной работы служб

Если группа в вашей организации определяет автономность службы как требование, рекомендуется сначала пересчитать это требование. Достижение автономности службы создает дополнительные затраты на управление и дополнительную стоимость организации. Убедитесь, что требования к автономности службы не просто для удобства и что вы можете выровнять затраты, связанные с этим требованием.

Для обеспечения автономности служб можно выполнить одно из следующих действий.

  • Создание организационного леса. Поместите пользователей, группы и компьютеры для группы, для которой требуется автономность служб, в отдельный организационный лес. Назначьте отдельного пользователя из этой группы в качестве владельца леса. Если группе требуется доступ к ресурсам и их совместное использование с другими лесами в Организации, они могут установить доверие между своим организационным лесом и другими лесами.

  • Использование доменов организации. Разместите пользователей, группы и компьютеры в отдельном домене в существующем лесу организации. Эта модель обеспечивает только автономность службы на уровне домена, а не полную автономность служб, изоляцию служб или изоляцию данных.

Дополнительные сведения об использовании доменов организации см. в разделе Использование модели доменных лесов организации.

Сценарий 3. использование леса организации или леса ресурсов для изоляции служб

Чтобы обеспечить изоляцию служб, выполните одно из следующих действий.

  • С помощью леса организации. Поместите пользователей, группы и компьютеры для группы, которая требует изоляции служб, в отдельный организационный лес. Назначьте отдельного пользователя из этой группы в качестве владельца леса. Если группе требуется доступ к ресурсам и их совместное использование с другими лесами в Организации, они могут установить доверие между своим организационным лесом и другими лесами. Однако этот подход не рекомендуется, так как доступ к ресурсам через универсальные группы сильно ограничен в сценариях доверия лесов.

  • С помощью леса ресурсов. Разместите ресурсы и учетные записи служб в отдельном лесу ресурсов, сохранив учетные записи пользователей в существующем лесу организации. При необходимости можно создать альтернативные учетные записи в лесу ресурсов, чтобы получить доступ к ресурсам в лесу ресурсов, если организационный лес становится недоступным. Альтернативные учетные записи должны иметь полномочия, необходимые для входа в лес ресурсов и поддержания контроля над ресурсами, пока организационный лес не вернется в режим «в сети».

    Установите отношение доверия между лесами ресурса и организации, чтобы пользователи могли обращаться к ресурсам в лесу, используя их обычные учетные записи пользователей. Такая конфигурация обеспечивает централизованное управление учетными записями пользователей, позволяя пользователям возвращаться к альтернативным учетным записям в лесу ресурсов, если организационный лес становится недоступным.

Ниже приведены рекомендации по изоляции служб.

  • Леса, созданные для изоляции служб, могут доверять доменам из других лесов, но не должны включать пользователей из других лесов в группы администраторов служб. Если пользователи из других лесов включены в группы администраторов в изолированном лесу, безопасность изолированного леса потенциально может быть скомпрометирована, так как администраторы служб в лесу не имеют монопольного контроля.

  • Пока контроллеры домена доступны в сети, они подчиняются атакам (например, атакам типа "отказ в обслуживании") от вредоносных программ в этой сети. Чтобы защититься от возможных атак, можно сделать следующее:

    • Размещение контроллеров домена только в сетях, которые считаются безопасными.

    • Ограничьте доступ к сети или сетям, в которых размещаются контроллеры домена.

  • Для изоляции служб требуется создание дополнительного леса. Оцените, что стоимость обслуживания инфраструктуры для поддержки дополнительного леса превышает затраты, связанные с потерей доступа к ресурсам из-за недоступности организационного леса.

Сценарий 4. использование леса организации или ограниченного доступа для изоляции данных

Чтобы обеспечить изоляцию данных, выполните одно из следующих действий.

  • С помощью леса организации. Поместите пользователей, группы и компьютеры для группы, которая требует изоляции данных, в отдельный организационный лес. Назначьте отдельного пользователя из этой группы в качестве владельца леса. Если группе требуется доступ к ресурсам и их совместное использование с другими лесами в Организации, установите отношение доверия между лесом организации и другими лесами. В новом организационном лесу есть только пользователи, которым требуется доступ к секретной информации. Пользователи имеют одну учетную запись, которая используется для доступа к секретным данным в собственном лесу и неклассифицированных данных в других лесах с помощью доверительных отношений.

  • Использование леса ограниченного доступа. Это отдельный лес, содержащий ограниченные данные и учетные записи пользователей, которые используются для доступа к этим данным. Отдельные учетные записи пользователей хранятся в существующих лесах организации, которые используются для доступа к неограниченным ресурсам в сети. Между лесом ограниченного доступа и другими лесами предприятия не создаются отношения доверия. Можно дополнительно ограничить лес, развернув лес в отдельной физической сети, чтобы он не мог подключиться к другим лесам. При развертывании леса в отдельной сети у пользователей должна быть две рабочие станции: одна для доступа к ограниченному лесу, а другая для доступа к неограниченным областям сети.

Ниже приведены рекомендации по созданию лесов для изоляции данных.

  • Организационные леса, созданные для изоляции данных, могут доверять доменам из других лесов, но пользователи из других лесов не должны включаться в следующие:

    • Группы, ответственные за управление службами или группы, которые могут управлять членством в группах администраторов служб

    • Группы, имеющие административный контроль над компьютерами, на которых хранятся защищенные данные

    • Группы, имеющие доступ к защищенным данным или группам, которые отвечают за управление объектами пользователей или объектами групп, которые имеют доступ к защищенным данным

      Если пользователи из другого леса включены в какую-либо из этих групп, компрометация другого леса может привести к компрометации изолированного леса и раскрытию защищенных данных.

  • Другие леса можно настроить таким образом, чтобы они доверяли организационному лесу, созданному для изоляции данных, чтобы пользователи в изолированном лесу могли получать доступ к ресурсам в других лесах. Однако пользователи из изолированного леса никогда не должны интерактивно входить на рабочие станции в доверяющем лесу. Компьютер в доверяющем лесу потенциально может быть скомпрометирован вредоносным программным обеспечением и может использоваться для записи учетных данных пользователя.

    Примечание

    Чтобы серверы в доверяющем лесу не могли олицетворять пользователей из изолированного леса и затем получать доступ к ресурсам в изолированном лесу, владелец леса может отключить делегированную проверку подлинности или использовать функцию ограниченного делегирования. Дополнительные сведения о делегированной проверке подлинности и ограниченном делегировании см. в разделе Делегирование проверки подлинности.

  • Может потребоваться установить брандмауэр между лесом организации и другими лесами в Организации, чтобы ограничить доступ пользователей к информации за пределами леса.

  • Хотя создание отдельного леса обеспечивает изоляцию данных, при условии, что контроллеры домена в изолированном лесу и на компьютерах, на которых размещены защищенные данные, доступны в сети, они подчиняются атакам, запущенным с компьютеров в этой сети. Организации, которые решают, что риск атаки слишком высок или что следствие атаки или нарушения безопасности является слишком большим, необходимо ограничить доступ к сети или сетям, в которых размещаются контроллеры домена, и на компьютерах, на которых размещены защищенные данные. Ограничение доступа может выполняться с помощью таких технологий, как брандмауэры и протокол IPsec. В экстремальных случаях организации могут поддерживать защищенные данные в независимой сети, не имеющей физического подключения к любой другой сети в Организации.

    Примечание

    Если между лесом ограниченного доступа и другой сетью существует какое-либо сетевое подключение, существует вероятность передачи данных из ограниченной области в другую сеть.

Сценарий 5. Используйте организационный лес или перенастройте брандмауэр для ограниченного подключения.

Для удовлетворения ограниченных требований к подключению можно выполнить одно из следующих действий.

  • Разместите пользователей в существующем лесу организации, а затем откройте брандмауэр, чтобы разрешить Active Directory трафик.

  • Используйте организационный лес. Поместите пользователей, группы и компьютеры в группу, для которой подключение ограничено в отдельный организационный лес. Назначьте отдельного пользователя из этой группы в качестве владельца леса. Организационный лес предоставляет отдельную среду на другой стороне брандмауэра. Лес включает учетные записи пользователей и ресурсы, управляемые в пределах леса, поэтому пользователям не нужно проходить через брандмауэр для выполнения ежедневных задач. Некоторые пользователи или приложения могут иметь особые потребности, требующие передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, в том числе те, которые необходимы для работы любых доверий.

Дополнительные сведения о настройке брандмауэров для использования со службами домен Active Directory Services (AD DS) см. в разделе Active Directory в сетях, разделенных брандмауэрами.

Сценарий 6. использование леса или домена организации и перенастройка брандмауэра для автономной работы службы с ограниченным подключением

Если группа в вашей организации определяет автономность службы как требование, рекомендуется сначала пересчитать это требование. Достижение автономности службы создает дополнительные затраты на управление и дополнительную стоимость организации. Убедитесь, что требования к автономности службы не просто для удобства и что вы можете выровнять затраты, связанные с этим требованием.

Если есть проблемы с ограниченным подключением и имеется требование для автономной работы службы, можно выполнить одно из следующих действий.

  • Используйте организационный лес. Поместите пользователей, группы и компьютеры для группы, для которой требуется автономность служб, в отдельный организационный лес. Назначьте отдельного пользователя из этой группы в качестве владельца леса. Организационный лес предоставляет отдельную среду на другой стороне брандмауэра. Лес включает учетные записи пользователей и ресурсы, управляемые в пределах леса, поэтому пользователям не нужно проходить через брандмауэр для выполнения ежедневных задач. Некоторые пользователи или приложения могут иметь особые потребности, требующие передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, в том числе те, которые необходимы для работы любых доверий.

  • Разместите пользователей, группы и компьютеры в отдельном домене в существующем лесу организации. Эта модель обеспечивает только автономность службы на уровне домена, а не полную автономность служб, изоляцию служб или изоляцию данных. Другие группы в лесу должны доверять администраторам служб нового домена тем же тем, что они доверяют владельцу леса. По этой причине этот подход не рекомендуется. Дополнительные сведения об использовании доменов организации см. в разделе Использование модели доменных лесов организации.

Также необходимо открыть брандмауэр, чтобы разрешить прохождение Active Directory трафика. Дополнительные сведения о настройке брандмауэров для использования с AD DS см. в разделе Active Directory в сетях, сегментированных брандмауэрами.

Сценарий 7. использование леса ресурсов и перенастройка брандмауэра для изоляции служб с ограниченным подключением

Если есть проблемы с ограниченным подключением и имеется требование к изоляции служб, можно выполнить одно из следующих действий.

  • Используйте организационный лес. Поместите пользователей, группы и компьютеры для группы, которая требует изоляции служб, в отдельный организационный лес. Назначьте отдельного пользователя из этой группы в качестве владельца леса. Организационный лес предоставляет отдельную среду на другой стороне брандмауэра. Лес включает учетные записи пользователей и ресурсы, управляемые в пределах леса, поэтому пользователям не нужно проходить через брандмауэр для выполнения ежедневных задач. Некоторые пользователи или приложения могут иметь особые потребности, требующие передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, в том числе те, которые необходимы для работы любых доверий.

  • Используйте лес ресурсов. Разместите ресурсы и учетные записи служб в отдельном лесу ресурсов, сохранив учетные записи пользователей в существующем лесу организации. Может потребоваться создать некоторые альтернативные учетные записи пользователей в лесу ресурсов, чтобы обеспечить доступ к лесу ресурсов, если организационный лес становится недоступным. Альтернативные учетные записи должны иметь полномочия, необходимые для входа в лес ресурсов и поддержания контроля над ресурсами, пока организационный лес не вернется в режим «в сети».

    Установите отношение доверия между лесами ресурса и организации, чтобы пользователи могли обращаться к ресурсам в лесу, используя их обычные учетные записи пользователей. Такая конфигурация обеспечивает централизованное управление учетными записями пользователей, позволяя пользователям возвращаться к альтернативным учетным записям в лесу ресурсов, если организационный лес становится недоступным.

Ниже приведены рекомендации по изоляции служб.

  • Леса, созданные для изоляции служб, могут доверять доменам из других лесов, но не должны включать пользователей из других лесов в группы администраторов служб. Если пользователи из других лесов включены в группы администраторов в изолированном лесу, безопасность изолированного леса потенциально может быть скомпрометирована, так как администраторы служб в лесу не имеют монопольного контроля.

  • Пока контроллеры домена доступны в сети, они подчиняются атакам (например, атакам типа "отказ в обслуживании") с компьютеров в этой сети. Чтобы защититься от возможных атак, можно сделать следующее:

    • Размещение контроллеров домена только в сетях, которые считаются безопасными.

    • Ограничьте доступ к сети или сетям, в которых размещаются контроллеры домена.

  • Для изоляции служб требуется создание дополнительного леса. Оцените, что стоимость обслуживания инфраструктуры для поддержки дополнительного леса превышает затраты, связанные с потерей доступа к ресурсам из-за недоступности организационного леса.

    Некоторые пользователи или приложения могут иметь особые потребности, требующие передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, в том числе те, которые необходимы для работы любых доверий.

Дополнительные сведения о настройке брандмауэров для использования с AD DS см. в разделе Active Directory в сетях, сегментированных брандмауэрами.