¿Cómo implemento AD en una ubicación hostil? ¿Cuáles son las implicaciones de seguridad entre los dominios, los bosques y los RODC en Active Directory?

Navega tus respuestas
1

Versión corta

  

¿Cuáles son los riesgos / beneficios / inconvenientes de RODC vs Child Domains vs Forest Trusts en AD

Background

Estoy trabajando con una compañía que tiene varios acuerdos comerciales entre muchas empresas pequeñas (200 a 400) y diversas necesidades de control, confianza y autonomía entre todas estas entidades comerciales.

La oficina corporativa tiene un bosque de AD que tiene el 80% de los usuarios en todas las empresas. El servidor de Exchange está aquí y la compañía actúa de manera similar a un BPOS / Office 365 en lo que respecta a brindar servicios a las empresas.

Ahora están considerando consolidar la carga de trabajo de TI entre los 200 silos y están considerando las siguientes opciones:

  1. Bosques múltiples (Corporativo y uno para cada una de las 200 empresas) con fideicomisos forestales a Hosted Exchange

  2. Subdominios / árboles en un bosque para cada compañía con un "dominio de recursos" para Exchange alojado

  3. Use nuestro dominio actual e implemente un controlador de dominio de solo lectura (RODC) fuera de Hosted Exchange

  4. Use nuestro dominio actual e implemente un controlador de dominio completo en el sitio remoto

  5. Haga "algo" con Forefront Identity Manager (no estoy seguro de las características de FIM)

La mayoría de los acuerdos comerciales tienen una cláusula de rescisión de 5 años. En ese momento pueden terminar su relación o pueden renovar. Otros acuerdos comerciales son más estratégicos y queremos gestionar sus escritorios locales también.

Según mi conocimiento histórico de AD, ha sido (o aún puede ser) posible obtener derechos de permiso de administrador de empresa al comprometer un controlador de dominio secundario local.

Esto me lleva a preguntar lo siguiente:

  

  • ¿Cómo implemento AD en una ubicación hostil? ¿Debo usar un RODC o Forest Trust?

    •   

  • ¿Hay algún beneficio de seguridad al usar un dominio / árbol secundario en el bosque?

    •   

  • La sobrecarga adicional de personal / administración está relacionada con un "Bosque de recursos"

    •   
    
pregunta random65537 31.10.2011 - 21:42
fuente

1 respuesta

2

Su mejor opción probablemente sea un RODC si desea poder tener control total sobre los dominios.

Un RODC no es un controlador de dominio regular. De forma predeterminada, todas las solicitudes de autenticación se reenvían a un DC grabable. Los RODC solo almacenarán credenciales si se cumplen dos condiciones:

  1. El almacenamiento en caché de credenciales está habilitado (el valor predeterminado es deshabilitado)
  2. Un usuario ha iniciado sesión desde el sitio del RODC

Por lo tanto, las cuentas de administrador de empresa no se pueden comprometer a menos que un EA haya iniciado sesión en el sitio del RODC. Quiero decir que las credenciales de la cuenta con privilegios administrativos tampoco se almacenarán en caché, pero no puedo corroborar eso. En teoría, no necesita tener un registro de EA en ese sitio porque puede configurar usuarios administrativos específicos de RODC. Estos usuarios pueden tener privilegios de administrador, pero no pueden tocar nada más en ninguno de los otros DC.

Consulte aquí: enlace

    
respondido por el Steve 31.10.2011 - 22:45
fuente

Lea otras preguntas en las etiquetas

OSSEC Nueva instalación: ¿Analizar y analizar el registro completo? Propósito y usos de los certificados SSL de raíz