簡単な質問:
システム管理者(ドメインコントローラー管理者を含む)専用のOUをActive Directoryに作成することは理にかなっていますか?このアプローチには欠点がありますか?に関して良い習慣はありますか?
他の応答で述べたように、GPOリンク-でも私は決してこの構成の変更を行わない)その目的のために。
また、Active Directoryには「a保護機能(adminSDHolderおよびsdProp)があり、Delegation of Controlアクティビティが特権アカウントを侵害するのを防ぎます」が、この保護機能のみです。保護されたグループ(ドメイン管理者、サーバーオペレーター、アカウントオペレーター、バックアップオペレーターなど)のメンバー(直接的または間接的)のユーザーアカウントを扱います。完全なリストはこちら https://docs.Microsoft.com/ en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory )。 sdPropプロセスは、有益ではありますが、Active Directoryのセキュリティを保護するための1つのレイヤーにすぎず、機密性の高いセキュリティプリンシパルを保護するための唯一のレイヤーとして信頼するには不十分であることを提案します。
これはActive Directoryの優れた機能ですが、問題は(ときどき曖昧な)ベストプラクティスに従っている場合、これらのグループがほとんど空になることです。また、ベストプラクティスを順守することを選択すると、ワークステーションへの管理者アクセス権を持つグループ、サーバーへの管理者アクセス権を持つグループ、Exchangeへの管理者アクセス権を持つグループ、グループなど、環境内のさまざまなアクセスを保護するために、いくつかのカスタムグループを作成して使用する必要があります。仮想化環境への管理者アクセス権、共有ファイルシステムへの管理者アクセス権を持つグループ、他のアプリケーションや他のLDAP統合アプリケーション、サービス、デバイスへの管理者アクセス権を持つグループ。 Active Directory自体へのアクセスを委任されたグループ。
これらのグループのいくつかは、「ドメイン管理者」またはリンクに詳述されている他のグループと同じくらいの敬意を持って扱われるべきです-そしてsdProp/adminSDHolderはしない追加のグループの包含をサポートします-(私の最後のチェックで)4つの事前定義されたグループの除外のみ。
これらのグループの管理の委任を適切かつ容易に行うには、これらのグループを別のOUに保持し、アクセスを委任するか、デフォルトのままにして、ドメイン管理者がグループのメンバーシップを変更する唯一のアクセス権を保持する必要があります。このOUは、説明したグループをセキュリティで保護するために基本的に必要なので、これらのグループのmembers(専用のセカンダリ、ターシャリ、クォータナリ管理アカウント)さまざまなユーザー)もこの場所に存在する必要があります。
Real Answer(tm)は次のようなものです。うーん、たぶん、達成しようとしていることに依存します。 なぜこれを行うことを考えているのかについて詳しく教えてください。具体的な回答を提供できます。実際に何を達成しようとしていますか?
私が知っている特定のベストプラクティスはありません。 Active Directoryには、(adminSDHolderおよびsdProp)の委任を防ぐためのセーフガードがあります特権アカウントの侵害から活動を制御します。特権アカウントをOUに配置するだけで、「ドメイン管理者」やその他の特権グループメンバーシップを開く大きなリスクはありません。
視覚的な整理のためだけにこれを実行したい場合は、「Active Directoryユーザーとコンピューター」でクエリを使用することを読んでください。 Active Directoryオブジェクトの "ビュー"を作成して、事実上あらゆる方法で考えることができます。
目標が視覚を超える場合は、さまざまな懸念事項について考える必要があります。
Active Directoryのドメインパーティションの物理構造(OU構造)は、最初に制御の委任、次にグループポリシーの展開を容易にするために最適に構成されています。
この提案された分離が委任管理の懸念に基づいている場合、adminSDHolder、sdProp、および特権アカウントの権限がADでどのように機能するか。
グループポリシーアプリケーションの制御について話している場合は、アカウントをOUに配置してください。 (そう、2つに分けてください。)それには、「達成しようとしていることに依存する」コンポーネントもあります。ユーザーのクラスのユーザーグループポリシーを分離する簡単な方法をお探しですか?グループメンバーシップを使用してGPOをフィルタリングすると、探しているのと同じことが実現でき、複数の場所で共通のGPOをリンクすることによって(または、さらに悪いことに、複数のGPOで同じ設定を複製することによって)繰り返す必要がなくなる場合があります。
あなたの質問の性質上、おそらく https://docs.Microsoft.com/en-us/windows-server/identity/ad-ds/のようないくつかのActive Directory設計ドキュメントを見てみる必要があると思います。 plan/ad-ds-design-and-planning )も。
はい、それらに適切なポリシーを設定するためにそうする必要があります。これらのポリシーの詳細については、 https://docs.Microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access を参照してください。
シンプルに保つために;はい、それは価値を追加します、私はどんな欠点も見ません。
このようなシナリオの目標は、組織で大量のユーザーグループポリシーを使用するかどうかです。
専用のOUとして、管理者のアカウントをすべてのユーザーから簡単に分離できますGPO.