自主性 vs.隔離

  • 發行項

適用於: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

您可以設計 Active Directory 邏輯結構,以達成下列其中一項:

  • 自主性。 牽涉到獨立但非獨佔的資源控制。 當您達到自主性時,系統管理員有權獨立管理資源;不過,仍有更高授權的系統管理員,他們也可以控制這些資源,並視需要將控制奪走。 您可以設計 Active Directory 邏輯結構,以達成下列種類的自主性:

    • 服務自主性。 這種類型的自主性牽涉到控制所有或部分的服務管理。

    • 資料自主性。 這種類型的自主性牽涉到控制儲存在目錄中或加入目錄之成員電腦上的所有或部分資料。

  • 隔離性。 牽涉到獨立和獨佔的資源控制。 當您達到隔離時,系統管理員有權獨立管理資源,而且沒有其他系統管理員可以奪走對資源的控制。 您可以設計 Active Directory 邏輯結構,以達成下列種類的隔離:

    • 服務隔離。 防止系統管理員 (除了特別被指定控制服務管理的系統管理員之外) 控制或干擾服務管理。

    • 資料隔離。 防止系統管理員 (除了特別被指定控制或檢視資料的系統管理員之外) 控制或檢視目錄中或加入目錄之成員電腦上的資料子集。

僅需要自主性的系統管理員同意其他具有相同或更高系統管理授權的系統管理員,對服務或資料管理擁有同等或更高的控制。 需要隔離的系統管理員具有服務或資料管理的獨佔控制。 相較於建立實現隔離的設計,建立實現自主性的設計的成本通常比要低。

在 Active Directory 網域服務 (AD DS) 中,系統管理員可以同時委派服務管理和資料管理,以達成組織之間的自主性或隔離。 組織的服務管理、資料管理、自主性和隔離需求的組合會影響用來委派管理的 Active Directory 容器。

隔離和自主性需求

您需要部署的樹系數量是以組織內每個群組的自主性和隔離需求為基礎。 若要識別樹系設計需求,您必須識別組織中所有群組的自主性和隔離需求。 具體來說,您必須識別資料隔離、資料自主性、服務隔離和服務自主性的需求。 您也必須識別組織中連線有限的區域。

資料隔離

資料隔離牽涉到擁有資料的群組或組織對資料的獨佔控制。 請務必注意,服務管理員能夠奪走資料管理員對資源的控制。 而資料管理員卻無法防止服務管理員存取其控制的資源。 因此,當組織內的另一個群組負責服務管理時,您會無法完成資料隔離。 如果群組需要資料隔離,該群組也必須承擔服務管理的責任。

由於儲存在 AD DS 和加入 AD DS 之電腦上的資料無法與服務管理員隔離,因此組織內群組達成完整資料隔離的唯一方式,就是為該資料建立個別樹系。 必須承受惡意軟體或強制服務管理員攻擊之嚴重後果的組織可能會選擇建立個別樹系,以達到資料隔離。 法律要求通常會造成對這種類型的資料隔離的需求。 例如:

  • 法律要求金融機構將屬於特定司法管轄區客戶的資料存取限制為位於該司法管轄區的使用者、電腦和系統管理員。 雖然機構信任在受保護區域以外工作的服務管理員,但如果違反存取限制,該機構將無法再在該司法管轄區做生意。 因此,金融機構必須將資料與該司法管轄區以外的服務管理員隔離。 請注意,加密不一定是此解決方案的替代方案。 加密可能無法阻止服務管理員存取資料。

  • 法律要求國防承包商將專案資料的存取限制為一組指定的使用者。 雖然承包商信任控制與其他專案相關電腦系統的服務管理員,但違反此存取限制會導致承包商失去業務。

    注意

    如果您有資料隔離需求,您必須決定是否需要將資料與服務管理員隔離,還是將資料與資料管理員和一般使用者隔離。 如果您的隔離需求是以資料管理員和一般使用者的隔離為基礎,您可以使用存取控制清單 (ACL) 來隔離資料。 為了進行此設計流程,與資料管理員和一般使用者隔離不會被視為資料隔離需求。

資料自主性

資料自主權牽涉到群組或組織管理自己資料的能力,包括對資料進行管理決策,以及執行任何必要的系統管理工作,而不需要其他授權單位的核准。

資料自主性不會防止樹系中的服務管理員存取資料。 例如,大型組織內的研究小組可能想要自行管理其專案特定的資料,但不需要保護樹系中其他系統管理員的資料。

服務隔離

服務隔離牽涉到對 Active Directory 基礎結構的獨佔控制。 需要服務隔離的群組要求群組外部的系統管理員均不可干擾目錄服務的作業。

作業與法律要求通常會造成對服務隔離的需求。 例如:

  • 製造公司擁有控制工廠設備的重要應用程式。 不能讓組織網路上其他部分的服務中斷干擾到工廠的作業。

  • 主機服務公司為多個用戶端提供服務。 每個用戶端都需要服務隔離,這樣任何影響一個用戶端的服務中斷才不會影響到其他的用戶端。

服務自主性

服務自主性牽涉到不需要獨佔控制而管理基礎結構的能力;例如,當群組想要不需樹系擁有者核准就變更基礎結構時 (例如新增或移除網域、修改網域名稱系統 (DNS) 命名空間或修改結構描述)。

組織內可能需要服務自主性才能控制 AD DS 的服務等級 (視需要新增和移除網域控制站),或控制需要能夠安裝支援目錄功能的應用程式之群組。

連線能力有限

如果組織內的群組的網路被限定或限制網路之間連線能力的裝置所分隔 (例如防火牆和網路位址轉譯 (NAT) 裝置),這可能會影響您的樹系設計。 當您識別樹系設計需求時,請務必記有限制網路連線能力的位置。 需要此資訊,才能讓您做出樹系設計的相關決策。