Сопоставление требований к проектированию леса с моделями проектирования леса

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Большинство групп в организации могут предоставлять общий доступ к одному лесу организации, управляемому одной группой информационных технологий (ИТ), и которая содержит учетные записи пользователей и ресурсы для всех групп, совместно использующих лес. Этот общий лес, называемый начальным организационным лесом, является основой модели проектирования леса для организации.

Так как начальный лес организации может размещать несколько групп в организации, владелец леса должен установить соглашения об уровне обслуживания с каждой группой, чтобы все стороны понимали, что ожидается от них. Это защищает как отдельные группы, так и владельца леса путем установления согласованных ожиданий обслуживания.

Если не все группы в вашей организации могут совместно использовать один лес организации, необходимо расширить структуру леса для удовлетворения потребностей разных групп. Это включает определение требований к проектированию, которые применяются к группам в зависимости от их потребностей в автономии и изоляции, а также наличия ограниченной сети подключения, а затем идентификации модели леса, которую можно использовать для удовлетворения этих требований. В следующей таблице перечислены сценарии проектирования леса на основе факторов автономности, изоляции и подключения. После определения сценария проектирования леса, который лучше всего соответствует вашим требованиям, определите, нужно ли принимать дополнительные решения в соответствии с вашими спецификациями проектирования.

Примечание.

Если фактор указан как N/A, это не является соображением, поскольку другие требования также учитывают этот фактор.

Сценарий Ограниченное подключение Изоляция данных Автономия данных Изоляция служб Автономия службы
Сценарий 1. Присоединение существующего леса к автономности данных No No Да No No
Сценарий 2. Использование леса организации или домена для автономности службы No Нет Н/П No Да
Сценарий 3. Использование леса организации или леса ресурсов для изоляции служб No Нет Н/Д Да Н/П
Сценарий 4. Использование леса организации или леса ограниченного доступа для изоляции данных Н/П Да Н/Д Н/Д Неприменимо
Сценарий 5. Использование леса организации или перенастройка брандмауэра для ограниченного подключения Да Нет Н/П Нет No
Сценарий 6. Использование леса организации или домена и перенастройка брандмауэра для автономности службы с ограниченным подключением Да Нет Н/П No Да
Сценарий 7. Использование леса ресурсов и перенастройка брандмауэра для изоляции служб с ограниченным подключением Да Нет Н/Д Да Н/П

Сценарий 1. Присоединение существующего леса к автономности данных

Чтобы обеспечить автономию данных, можно просто разместить группу в подразделениях (OUS) в существующем лесу организации. Делегировать управление подразделениями для администраторов данных из этой группы для обеспечения автономии данных. Дополнительные сведения о делегировании управления с помощью подразделений см. в статье "Создание структуры подразделения".

Сценарий 2. Использование леса организации или домена для автономности службы

Если группа в вашей организации определяет автономию службы как требование, рекомендуется сначала пересмотреть это требование. Обеспечение автономии службы создает дополнительные затраты на управление и дополнительные затраты на организацию. Убедитесь, что требование автономности службы не просто для удобства и что вы можете оправдать затраты, связанные с этим требованием.

Чтобы обеспечить автономию службы, выполните одно из следующих действий:

  • Создание леса организации. Поместите пользователей, группы и компьютеры для группы, требующей автономности службы, в отдельный лес организации. Назначьте отдельного человека из этой группы владельцем леса. Если группе требуется доступ к ресурсам или совместному доступу к другим лесам в организации, они могут установить доверие между их организационным лесом и другими лесами.

  • Использование доменов организации. Поместите пользователей, группы и компьютеры в отдельный домен в существующем лесу организации. Эта модель обеспечивает автономию службы уровня домена только и не для полной автономии службы, изоляции службы или изоляции данных.

Дополнительные сведения об использовании доменов организации см. в разделе "Использование модели леса домена организации".

Сценарий 3. Использование леса организации или леса ресурсов для изоляции служб

Чтобы обеспечить изоляцию служб, выполните одно из следующих действий:

  • Использование леса организации. Поместите пользователей, группы и компьютеры для группы, требующей изоляции службы в отдельный лес организации. Назначьте отдельного человека из этой группы владельцем леса. Если группе требуется доступ к ресурсам или совместному доступу к другим лесам в организации, они могут установить доверие между их организационным лесом и другими лесами. Однако этот подход не рекомендуется, так как доступ к ресурсам через универсальные группы сильно ограничен в сценариях доверия леса.

  • Использование леса ресурсов. Поместите ресурсы и учетные записи служб в отдельный лес ресурсов, сохраняя учетные записи пользователей в существующем лесу организации. При необходимости альтернативные учетные записи можно создать в лесу ресурсов для доступа к ресурсам в лесу ресурсов, если лес организации становится недоступным. Альтернативные учетные записи должны иметь полномочия, необходимые для входа в лес ресурсов и поддержания контроля над ресурсами до тех пор, пока лес организации не будет подключен к сети.

    Создайте доверие между ресурсами и лесами организации, чтобы пользователи могли получить доступ к ресурсам в лесу при использовании обычных учетных записей пользователей. Эта конфигурация позволяет централизованно управлять учетными записями пользователей, позволяя пользователям вернуться к альтернативным учетным записям в лесу ресурсов, если лес организации становится недоступным.

Ниже приведены рекомендации по изоляции служб.

  • Леса, созданные для изоляции служб, могут доверять доменам из других лесов, но не должны включать пользователей из других лесов в группы администраторов служб. Если пользователи из других лесов включены в административные группы в изолированном лесу, безопасность изолированного леса потенциально может быть скомпрометирована, так как администраторы служб в лесу не имеют эксклюзивного контроля.

  • Если контроллеры домена доступны в сети, они подвергаются атакам (например, атакам типа "отказ в обслуживании") от вредоносного программного обеспечения в этой сети. Для защиты от возможности атаки можно выполнить следующие действия.

    • Контроллеры домена узла находятся только в сетях, которые считаются безопасными.

    • Ограничение доступа к сети или сетям, на котором размещаются контроллеры домена.

  • Изоляция служб требует создания дополнительного леса. Оцените стоимость обслуживания инфраструктуры для поддержки дополнительного леса перевешивает затраты, связанные с потерей доступа к ресурсам из-за недоступности леса организации.

Сценарий 4. Использование леса организации или леса ограниченного доступа для изоляции данных

Вы можете добиться изоляции данных, выполнив одно из следующих действий.

  • Использование леса организации. Поместите пользователей, группы и компьютеры для группы, требующей изоляции данных в отдельный лес организации. Назначьте отдельного человека из этой группы владельцем леса. Если группе необходимо получить доступ к ресурсам или предоставить общий доступ к другим лесам в организации, создайте доверие между лесом организации и другими лесами. В новом лесу организации существуют только пользователи, которым требуется доступ к секретной информации. У пользователей есть одна учетная запись, которая используется для доступа как к классифицированным данным в собственном лесу, так и к неклассифицированным данным в других лесах с помощью отношений доверия.

  • Использование леса ограниченного доступа. Это отдельный лес, содержащий ограниченные данные и учетные записи пользователей, которые используются для доступа к этим данным. Отдельные учетные записи пользователей сохраняются в существующих лесах организации, которые используются для доступа к неограниченным ресурсам в сети. Отношения доверия между лесом ограниченного доступа и другими лесами в организации не создаются. Вы можете дополнительно ограничить лес, развернув лес в отдельной физической сети, чтобы он не смог подключиться к другим лесам. Если вы развертываете лес в отдельной сети, пользователи должны иметь две рабочие станции: одну для доступа к ограниченному лесу и одну для доступа к неограниченным областям сети.

Ниже приведены рекомендации по созданию лесов для изоляции данных:

  • Леса организации, созданные для изоляции данных, могут доверять доменам из других лесов, но пользователи из других лесов не должны включаться в одно из следующих:

    • Группы, ответственные за управление службами или группы, которые могут управлять членством в группах администраторов служб

    • Группы с административным контролем над компьютерами, в которых хранятся защищенные данные

    • Группы, имеющие доступ к защищенным данным или группам, отвечающим за управление объектами пользователей или группами, имеющими доступ к защищенным данным.

      Если пользователи из другого леса включены в любую из этих групп, то компрометация другого леса может привести к компрометации изолированного леса и раскрытию защищенных данных.

  • Другие леса можно настроить для доверия к лесу организации, созданному для изоляции данных, чтобы пользователи в изолированном лесу могли получить доступ к ресурсам в других лесах. Однако пользователи из изолированного леса никогда не должны интерактивно входить на рабочие станции в доверительном лесу. Компьютер в доверенном лесу может быть скомпрометирован вредоносным программным обеспечением и может использоваться для записи учетных данных входа пользователя.

    Примечание.

    Чтобы запретить серверам в доверенном лесу олицетворение пользователей из изолированного леса, а затем получить доступ к ресурсам в изолированном лесу владелец леса может отключить делегированную проверку подлинности или использовать функцию ограниченного делегирования. Дополнительные сведения о делегированной проверке подлинности и ограниченном делегировании см. в разделе "Делегирование проверки подлинности".

  • Возможно, потребуется установить брандмауэр между лесом организации и другими лесами в организации, чтобы ограничить доступ пользователей к информации за пределами леса.

  • Хотя создание отдельного леса обеспечивает изоляцию данных, если контроллеры домена в изолированном лесу и компьютерах, на которых размещена защищенная информация, доступны в сети, они подвергаются атакам, запущенным с компьютеров в этой сети. Организации, которые решают, что риск атаки слишком высок или что следствие атаки или нарушения безопасности слишком велика, чтобы ограничить доступ к сети или сетям, на которых размещаются контроллеры домена и компьютеры, на которых размещены защищенные данные. Ограничение доступа можно сделать с помощью таких технологий, как брандмауэры и безопасность протокола Интернета (IPsec). В крайних случаях организации могут использовать защищенные данные в независимой сети, которая не имеет физического подключения к любой другой сети в организации.

    Примечание.

    Если между лесом ограниченного доступа и другой сетью существует какое-либо сетевое подключение, возможность передачи данных в ограниченной области в другую сеть существует.

Сценарий 5. Использование леса организации или перенастройка брандмауэра для ограниченного подключения

Чтобы выполнить ограниченное требование подключения, можно выполнить одно из следующих действий:

  • Поместите пользователей в существующий лес организации, а затем откройте брандмауэр достаточно, чтобы разрешить передачу трафика Active Directory.

  • Используйте лес организации. Поместите пользователей, группы и компьютеры для группы, для которой подключение ограничено отдельным лесом организации. Назначьте отдельного человека из этой группы владельцем леса. Лес организации предоставляет отдельную среду с другой стороны брандмауэра. Лес включает учетные записи пользователей и ресурсы, управляемые в лесу, чтобы пользователи не должны проходить через брандмауэр для выполнения повседневных задач. У конкретных пользователей или приложений могут быть особые потребности, требующие возможности передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, включая те, которые необходимы для работы любого доверия.

Дополнительные сведения о настройке брандмауэров для использования с службами домен Active Directory (AD DS) см. в разделе Active Directory в сетях, сегментированных брандмауэрами.

Сценарий 6. Использование леса организации или домена и перенастройка брандмауэра для автономности службы с ограниченным подключением

Если группа в вашей организации определяет автономию службы как требование, рекомендуется сначала пересмотреть это требование. Обеспечение автономии службы создает дополнительные затраты на управление и дополнительные затраты на организацию. Убедитесь, что требование автономности службы не просто для удобства и что вы можете оправдать затраты, связанные с этим требованием.

Если ограниченное подключение является проблемой, и у вас есть требование к автономности службы, вы можете выполнить одно из следующих действий:

  • Используйте лес организации. Поместите пользователей, группы и компьютеры для группы, требующей автономности службы, в отдельный лес организации. Назначьте отдельного человека из этой группы владельцем леса. Лес организации предоставляет отдельную среду с другой стороны брандмауэра. Лес включает учетные записи пользователей и ресурсы, управляемые в лесу, чтобы пользователи не должны проходить через брандмауэр для выполнения повседневных задач. У конкретных пользователей или приложений могут быть особые потребности, требующие возможности передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, включая те, которые необходимы для работы любого доверия.

  • Поместите пользователей, группы и компьютеры в отдельный домен в существующем лесу организации. Эта модель обеспечивает автономию службы уровня домена только и не для полной автономии службы, изоляции службы или изоляции данных. Другие группы в лесу должны доверять администраторам служб нового домена в той же степени, что и владелец леса. По этой причине мы не рекомендуем этот подход. Дополнительные сведения об использовании доменов организации см. в разделе "Использование модели леса домена организации".

Кроме того, необходимо открыть брандмауэр достаточно, чтобы разрешить передачу трафика Active Directory. Дополнительные сведения о настройке брандмауэров для использования с AD DS см. в разделе Active Directory в сетях, сегментированных брандмауэрами.

Сценарий 7. Использование леса ресурсов и перенастройка брандмауэра для изоляции служб с ограниченным подключением

Если ограниченное подключение является проблемой, и у вас есть требование к изоляции служб, можно выполнить одно из следующих действий.

  • Используйте лес организации. Поместите пользователей, группы и компьютеры для группы, требующей изоляции службы в отдельный лес организации. Назначьте отдельного человека из этой группы владельцем леса. Лес организации предоставляет отдельную среду с другой стороны брандмауэра. Лес включает учетные записи пользователей и ресурсы, управляемые в лесу, чтобы пользователи не должны проходить через брандмауэр для выполнения повседневных задач. У конкретных пользователей или приложений могут быть особые потребности, требующие возможности передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, включая те, которые необходимы для работы любого доверия.

  • Используйте лес ресурсов. Поместите ресурсы и учетные записи служб в отдельный лес ресурсов, сохраняя учетные записи пользователей в существующем лесу организации. Возможно, потребуется создать в лесу ресурсов несколько альтернативных учетных записей пользователей, чтобы сохранить доступ к лесу ресурсов, если лес организации становится недоступным. Альтернативные учетные записи должны иметь полномочия, необходимые для входа в лес ресурсов и поддержания контроля над ресурсами до тех пор, пока лес организации не будет подключен к сети.

    Создайте доверие между ресурсами и лесами организации, чтобы пользователи могли получить доступ к ресурсам в лесу при использовании обычных учетных записей пользователей. Эта конфигурация позволяет централизованно управлять учетными записями пользователей, позволяя пользователям вернуться к альтернативным учетным записям в лесу ресурсов, если лес организации становится недоступным.

Ниже приведены рекомендации по изоляции служб.

  • Леса, созданные для изоляции служб, могут доверять доменам из других лесов, но не должны включать пользователей из других лесов в группы администраторов служб. Если пользователи из других лесов включены в административные группы в изолированном лесу, безопасность изолированного леса потенциально может быть скомпрометирована, так как администраторы служб в лесу не имеют эксклюзивного контроля.

  • Если контроллеры домена доступны в сети, они подвергаются атакам (например, атакам типа "отказ в обслуживании") с компьютеров в этой сети. Для защиты от возможности атаки можно выполнить следующие действия.

    • Контроллеры домена узла находятся только в сетях, которые считаются безопасными.

    • Ограничение доступа к сети или сетям, на котором размещаются контроллеры домена.

  • Изоляция служб требует создания дополнительного леса. Оцените стоимость обслуживания инфраструктуры для поддержки дополнительного леса перевешивает затраты, связанные с потерей доступа к ресурсам из-за недоступности леса организации.

    У конкретных пользователей или приложений могут быть особые потребности, требующие возможности передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, включая те, которые необходимы для работы любого доверия.

Дополнительные сведения о настройке брандмауэров для использования с AD DS см. в разделе Active Directory в сетях, сегментированных брандмауэрами.