Сопоставление требований к проектированию леса с моделями проектирования леса
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Большинство групп в организации могут предоставлять общий доступ к одному лесу организации, управляемому одной группой информационных технологий (ИТ), и которая содержит учетные записи пользователей и ресурсы для всех групп, совместно использующих лес. Этот общий лес, называемый начальным организационным лесом, является основой модели проектирования леса для организации.
Так как начальный лес организации может размещать несколько групп в организации, владелец леса должен установить соглашения об уровне обслуживания с каждой группой, чтобы все стороны понимали, что ожидается от них. Это защищает как отдельные группы, так и владельца леса путем установления согласованных ожиданий обслуживания.
Если не все группы в вашей организации могут совместно использовать один лес организации, необходимо расширить структуру леса для удовлетворения потребностей разных групп. Это включает определение требований к проектированию, которые применяются к группам в зависимости от их потребностей в автономии и изоляции, а также наличия ограниченной сети подключения, а затем идентификации модели леса, которую можно использовать для удовлетворения этих требований. В следующей таблице перечислены сценарии проектирования леса на основе факторов автономности, изоляции и подключения. После определения сценария проектирования леса, который лучше всего соответствует вашим требованиям, определите, нужно ли принимать дополнительные решения в соответствии с вашими спецификациями проектирования.
Примечание.
Если фактор указан как N/A, это не является соображением, поскольку другие требования также учитывают этот фактор.
Сценарий | Ограниченное подключение | Изоляция данных | Автономия данных | Изоляция служб | Автономия службы |
---|---|---|---|---|---|
Сценарий 1. Присоединение существующего леса к автономности данных | No | No | Да | No | No |
Сценарий 2. Использование леса организации или домена для автономности службы | No | Нет | Н/П | No | Да |
Сценарий 3. Использование леса организации или леса ресурсов для изоляции служб | No | Нет | Н/Д | Да | Н/П |
Сценарий 4. Использование леса организации или леса ограниченного доступа для изоляции данных | Н/П | Да | Н/Д | Н/Д | Неприменимо |
Сценарий 5. Использование леса организации или перенастройка брандмауэра для ограниченного подключения | Да | Нет | Н/П | Нет | No |
Сценарий 6. Использование леса организации или домена и перенастройка брандмауэра для автономности службы с ограниченным подключением | Да | Нет | Н/П | No | Да |
Сценарий 7. Использование леса ресурсов и перенастройка брандмауэра для изоляции служб с ограниченным подключением | Да | Нет | Н/Д | Да | Н/П |
Сценарий 1. Присоединение существующего леса к автономности данных
Чтобы обеспечить автономию данных, можно просто разместить группу в подразделениях (OUS) в существующем лесу организации. Делегировать управление подразделениями для администраторов данных из этой группы для обеспечения автономии данных. Дополнительные сведения о делегировании управления с помощью подразделений см. в статье "Создание структуры подразделения".
Сценарий 2. Использование леса организации или домена для автономности службы
Если группа в вашей организации определяет автономию службы как требование, рекомендуется сначала пересмотреть это требование. Обеспечение автономии службы создает дополнительные затраты на управление и дополнительные затраты на организацию. Убедитесь, что требование автономности службы не просто для удобства и что вы можете оправдать затраты, связанные с этим требованием.
Чтобы обеспечить автономию службы, выполните одно из следующих действий:
Создание леса организации. Поместите пользователей, группы и компьютеры для группы, требующей автономности службы, в отдельный лес организации. Назначьте отдельного человека из этой группы владельцем леса. Если группе требуется доступ к ресурсам или совместному доступу к другим лесам в организации, они могут установить доверие между их организационным лесом и другими лесами.
Использование доменов организации. Поместите пользователей, группы и компьютеры в отдельный домен в существующем лесу организации. Эта модель обеспечивает автономию службы уровня домена только и не для полной автономии службы, изоляции службы или изоляции данных.
Дополнительные сведения об использовании доменов организации см. в разделе "Использование модели леса домена организации".
Сценарий 3. Использование леса организации или леса ресурсов для изоляции служб
Чтобы обеспечить изоляцию служб, выполните одно из следующих действий:
Использование леса организации. Поместите пользователей, группы и компьютеры для группы, требующей изоляции службы в отдельный лес организации. Назначьте отдельного человека из этой группы владельцем леса. Если группе требуется доступ к ресурсам или совместному доступу к другим лесам в организации, они могут установить доверие между их организационным лесом и другими лесами. Однако этот подход не рекомендуется, так как доступ к ресурсам через универсальные группы сильно ограничен в сценариях доверия леса.
Использование леса ресурсов. Поместите ресурсы и учетные записи служб в отдельный лес ресурсов, сохраняя учетные записи пользователей в существующем лесу организации. При необходимости альтернативные учетные записи можно создать в лесу ресурсов для доступа к ресурсам в лесу ресурсов, если лес организации становится недоступным. Альтернативные учетные записи должны иметь полномочия, необходимые для входа в лес ресурсов и поддержания контроля над ресурсами до тех пор, пока лес организации не будет подключен к сети.
Создайте доверие между ресурсами и лесами организации, чтобы пользователи могли получить доступ к ресурсам в лесу при использовании обычных учетных записей пользователей. Эта конфигурация позволяет централизованно управлять учетными записями пользователей, позволяя пользователям вернуться к альтернативным учетным записям в лесу ресурсов, если лес организации становится недоступным.
Ниже приведены рекомендации по изоляции служб.
Леса, созданные для изоляции служб, могут доверять доменам из других лесов, но не должны включать пользователей из других лесов в группы администраторов служб. Если пользователи из других лесов включены в административные группы в изолированном лесу, безопасность изолированного леса потенциально может быть скомпрометирована, так как администраторы служб в лесу не имеют эксклюзивного контроля.
Если контроллеры домена доступны в сети, они подвергаются атакам (например, атакам типа "отказ в обслуживании") от вредоносного программного обеспечения в этой сети. Для защиты от возможности атаки можно выполнить следующие действия.
Контроллеры домена узла находятся только в сетях, которые считаются безопасными.
Ограничение доступа к сети или сетям, на котором размещаются контроллеры домена.
Изоляция служб требует создания дополнительного леса. Оцените стоимость обслуживания инфраструктуры для поддержки дополнительного леса перевешивает затраты, связанные с потерей доступа к ресурсам из-за недоступности леса организации.
Сценарий 4. Использование леса организации или леса ограниченного доступа для изоляции данных
Вы можете добиться изоляции данных, выполнив одно из следующих действий.
Использование леса организации. Поместите пользователей, группы и компьютеры для группы, требующей изоляции данных в отдельный лес организации. Назначьте отдельного человека из этой группы владельцем леса. Если группе необходимо получить доступ к ресурсам или предоставить общий доступ к другим лесам в организации, создайте доверие между лесом организации и другими лесами. В новом лесу организации существуют только пользователи, которым требуется доступ к секретной информации. У пользователей есть одна учетная запись, которая используется для доступа как к классифицированным данным в собственном лесу, так и к неклассифицированным данным в других лесах с помощью отношений доверия.
Использование леса ограниченного доступа. Это отдельный лес, содержащий ограниченные данные и учетные записи пользователей, которые используются для доступа к этим данным. Отдельные учетные записи пользователей сохраняются в существующих лесах организации, которые используются для доступа к неограниченным ресурсам в сети. Отношения доверия между лесом ограниченного доступа и другими лесами в организации не создаются. Вы можете дополнительно ограничить лес, развернув лес в отдельной физической сети, чтобы он не смог подключиться к другим лесам. Если вы развертываете лес в отдельной сети, пользователи должны иметь две рабочие станции: одну для доступа к ограниченному лесу и одну для доступа к неограниченным областям сети.
Ниже приведены рекомендации по созданию лесов для изоляции данных:
Леса организации, созданные для изоляции данных, могут доверять доменам из других лесов, но пользователи из других лесов не должны включаться в одно из следующих:
Группы, ответственные за управление службами или группы, которые могут управлять членством в группах администраторов служб
Группы с административным контролем над компьютерами, в которых хранятся защищенные данные
Группы, имеющие доступ к защищенным данным или группам, отвечающим за управление объектами пользователей или группами, имеющими доступ к защищенным данным.
Если пользователи из другого леса включены в любую из этих групп, то компрометация другого леса может привести к компрометации изолированного леса и раскрытию защищенных данных.
Другие леса можно настроить для доверия к лесу организации, созданному для изоляции данных, чтобы пользователи в изолированном лесу могли получить доступ к ресурсам в других лесах. Однако пользователи из изолированного леса никогда не должны интерактивно входить на рабочие станции в доверительном лесу. Компьютер в доверенном лесу может быть скомпрометирован вредоносным программным обеспечением и может использоваться для записи учетных данных входа пользователя.
Примечание.
Чтобы запретить серверам в доверенном лесу олицетворение пользователей из изолированного леса, а затем получить доступ к ресурсам в изолированном лесу владелец леса может отключить делегированную проверку подлинности или использовать функцию ограниченного делегирования. Дополнительные сведения о делегированной проверке подлинности и ограниченном делегировании см. в разделе "Делегирование проверки подлинности".
Возможно, потребуется установить брандмауэр между лесом организации и другими лесами в организации, чтобы ограничить доступ пользователей к информации за пределами леса.
Хотя создание отдельного леса обеспечивает изоляцию данных, если контроллеры домена в изолированном лесу и компьютерах, на которых размещена защищенная информация, доступны в сети, они подвергаются атакам, запущенным с компьютеров в этой сети. Организации, которые решают, что риск атаки слишком высок или что следствие атаки или нарушения безопасности слишком велика, чтобы ограничить доступ к сети или сетям, на которых размещаются контроллеры домена и компьютеры, на которых размещены защищенные данные. Ограничение доступа можно сделать с помощью таких технологий, как брандмауэры и безопасность протокола Интернета (IPsec). В крайних случаях организации могут использовать защищенные данные в независимой сети, которая не имеет физического подключения к любой другой сети в организации.
Примечание.
Если между лесом ограниченного доступа и другой сетью существует какое-либо сетевое подключение, возможность передачи данных в ограниченной области в другую сеть существует.
Сценарий 5. Использование леса организации или перенастройка брандмауэра для ограниченного подключения
Чтобы выполнить ограниченное требование подключения, можно выполнить одно из следующих действий:
Поместите пользователей в существующий лес организации, а затем откройте брандмауэр достаточно, чтобы разрешить передачу трафика Active Directory.
Используйте лес организации. Поместите пользователей, группы и компьютеры для группы, для которой подключение ограничено отдельным лесом организации. Назначьте отдельного человека из этой группы владельцем леса. Лес организации предоставляет отдельную среду с другой стороны брандмауэра. Лес включает учетные записи пользователей и ресурсы, управляемые в лесу, чтобы пользователи не должны проходить через брандмауэр для выполнения повседневных задач. У конкретных пользователей или приложений могут быть особые потребности, требующие возможности передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, включая те, которые необходимы для работы любого доверия.
Дополнительные сведения о настройке брандмауэров для использования с службами домен Active Directory (AD DS) см. в разделе Active Directory в сетях, сегментированных брандмауэрами.
Сценарий 6. Использование леса организации или домена и перенастройка брандмауэра для автономности службы с ограниченным подключением
Если группа в вашей организации определяет автономию службы как требование, рекомендуется сначала пересмотреть это требование. Обеспечение автономии службы создает дополнительные затраты на управление и дополнительные затраты на организацию. Убедитесь, что требование автономности службы не просто для удобства и что вы можете оправдать затраты, связанные с этим требованием.
Если ограниченное подключение является проблемой, и у вас есть требование к автономности службы, вы можете выполнить одно из следующих действий:
Используйте лес организации. Поместите пользователей, группы и компьютеры для группы, требующей автономности службы, в отдельный лес организации. Назначьте отдельного человека из этой группы владельцем леса. Лес организации предоставляет отдельную среду с другой стороны брандмауэра. Лес включает учетные записи пользователей и ресурсы, управляемые в лесу, чтобы пользователи не должны проходить через брандмауэр для выполнения повседневных задач. У конкретных пользователей или приложений могут быть особые потребности, требующие возможности передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, включая те, которые необходимы для работы любого доверия.
Поместите пользователей, группы и компьютеры в отдельный домен в существующем лесу организации. Эта модель обеспечивает автономию службы уровня домена только и не для полной автономии службы, изоляции службы или изоляции данных. Другие группы в лесу должны доверять администраторам служб нового домена в той же степени, что и владелец леса. По этой причине мы не рекомендуем этот подход. Дополнительные сведения об использовании доменов организации см. в разделе "Использование модели леса домена организации".
Кроме того, необходимо открыть брандмауэр достаточно, чтобы разрешить передачу трафика Active Directory. Дополнительные сведения о настройке брандмауэров для использования с AD DS см. в разделе Active Directory в сетях, сегментированных брандмауэрами.
Сценарий 7. Использование леса ресурсов и перенастройка брандмауэра для изоляции служб с ограниченным подключением
Если ограниченное подключение является проблемой, и у вас есть требование к изоляции служб, можно выполнить одно из следующих действий.
Используйте лес организации. Поместите пользователей, группы и компьютеры для группы, требующей изоляции службы в отдельный лес организации. Назначьте отдельного человека из этой группы владельцем леса. Лес организации предоставляет отдельную среду с другой стороны брандмауэра. Лес включает учетные записи пользователей и ресурсы, управляемые в лесу, чтобы пользователи не должны проходить через брандмауэр для выполнения повседневных задач. У конкретных пользователей или приложений могут быть особые потребности, требующие возможности передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, включая те, которые необходимы для работы любого доверия.
Используйте лес ресурсов. Поместите ресурсы и учетные записи служб в отдельный лес ресурсов, сохраняя учетные записи пользователей в существующем лесу организации. Возможно, потребуется создать в лесу ресурсов несколько альтернативных учетных записей пользователей, чтобы сохранить доступ к лесу ресурсов, если лес организации становится недоступным. Альтернативные учетные записи должны иметь полномочия, необходимые для входа в лес ресурсов и поддержания контроля над ресурсами до тех пор, пока лес организации не будет подключен к сети.
Создайте доверие между ресурсами и лесами организации, чтобы пользователи могли получить доступ к ресурсам в лесу при использовании обычных учетных записей пользователей. Эта конфигурация позволяет централизованно управлять учетными записями пользователей, позволяя пользователям вернуться к альтернативным учетным записям в лесу ресурсов, если лес организации становится недоступным.
Ниже приведены рекомендации по изоляции служб.
Леса, созданные для изоляции служб, могут доверять доменам из других лесов, но не должны включать пользователей из других лесов в группы администраторов служб. Если пользователи из других лесов включены в административные группы в изолированном лесу, безопасность изолированного леса потенциально может быть скомпрометирована, так как администраторы служб в лесу не имеют эксклюзивного контроля.
Если контроллеры домена доступны в сети, они подвергаются атакам (например, атакам типа "отказ в обслуживании") с компьютеров в этой сети. Для защиты от возможности атаки можно выполнить следующие действия.
Контроллеры домена узла находятся только в сетях, которые считаются безопасными.
Ограничение доступа к сети или сетям, на котором размещаются контроллеры домена.
Изоляция служб требует создания дополнительного леса. Оцените стоимость обслуживания инфраструктуры для поддержки дополнительного леса перевешивает затраты, связанные с потерей доступа к ресурсам из-за недоступности леса организации.
У конкретных пользователей или приложений могут быть особые потребности, требующие возможности передачи через брандмауэр для связи с другими лесами. Эти потребности можно решить по отдельности, открыв соответствующие интерфейсы в брандмауэре, включая те, которые необходимы для работы любого доверия.
Дополнительные сведения о настройке брандмауэров для использования с AD DS см. в разделе Active Directory в сетях, сегментированных брандмауэрами.