Active Directory. Рекомендации по организации Прежде всего, обращаю Ваше внимание, что по соображениям безопасности не рекомендуется входить в систему с учетными данными администратора.
При входе в систему без учетных данных администратора для выполнения административных задач используйте команду «Запуск от имени».
Почему не следует работать на компьютере, используя учетную запись администратора?
С точки зрения администратора упрощается 90% всех операций, если все вновь создаваемые объекты Службе Активного каталога (Active Directory) стандартизованы и не нужно помнить «где мы рыбу заворачивали»
Прошу в срок до 20/11/2015 навести порядок в Активном каталоге, исходя из следующих требований
(можете рассматривать как требование ИБ касательно ****ios.NET, ***.IOS.NET, ***2.IOS.NET):
1. Все компьютеры после ввода в домен или выдачи новому сотруднику должны в течение 1 (одного) дня быть переброшены в соответствующее подразделение (OU - Organizational unit).
2. В свойства каждого компьютера в поле Description (Описание) записывать в обязательном порядке Ф.И.О. пользователя полностью – либо руками либо скриптом при логине пользователя в сеть.
3. В корне Службы каталогов должен быть создан организационный блок (OU, подразделение) – io.
4. Внутри OU io создать OU Компьютеры.
5. Внутри OU Компьютеры –
a. Страна
b. Направление бизнеса Корпорации
c. Город размещения офиса
6. Внутри OU io создать OU Пользователи.
7. Внутри OU Пользователи –
a. Страна
b. Город размещения офиса
c. Направление бизнеса Корпорации
8. В корне Службы каталогов должен быть создан организационный блок (OU, подразделение) DisabledComputers. В него автоматически переносить компьютеры, которые более 45 дней не были в сети.
9. В корне Службы каталогов должен быть создан организационный блок (OU, подразделение) DisabledUsers. После увольнения заблокированного пользователя перемещать в этот блок.
10. Создать отчет по пользователям, которые более, чем 90 дней не логинились в АД, и отправлять его в виде XLS-файла на почтовый адрес sv_info@*******-corp.com .
11. Компьютеры, которые не входили в сеть более, чем 90 дней удалять из АД.
12. В корне Службы каталогов должен быть создан организационный блок (OU, подразделение) Groups. В OU Groups необходимо создать следующие OU:
a. GrpAccesses – группы для общих сетевых ресурсов (Network Shares) * Прим. Создавать общие сетевые ресурсы (кроме общих локальных принтеров) на компьютерах пользователей (на не серверных аппаратных и программных ресурсах) категорически запрещается. Просим сотрудников СД пресекать попытки пользователей создавать общие разделяемые сетевые ресурсы на локальных компьютерах и закрывать их при обнаружении.
b. GrpComputers – группы для GPO на компьютеры.
c. GrpUsers – группы для GPO на пользователей (локальные админы, RDP-пользователи, admin_workstation_only и т.д.)
В Описании любой из вышеперечисленных групп безопасности при создании в обязательном порядке указывается ДЛЯ ЧЕГО создана группа пользователей. В других OU ЗАПРЕЩАЕТСЯ создавать группы безопасности.
Пример:
Имя Тип Описание
1C_outsources Группа безопасности - Глобальная Для внешних сотрудников аутсорсинговых компаний, выполняющих работу для отдела 1С
1c-key-lic50 Группа безопасности - Глобальная Компьютеры, которым будет выдаваться лицензия из ключа на 50 пользователей
ise Группа безопасности - Глобальная Cisco Identity Services Engine (ISE) для использования собственных устройств (BYOD) среди сотрудников и обеспечения безопасного доступа к ресурсам ИС
ise_admin Группа безопасности - Глобальная Для утверждающих подключение к сети через Cisco ISE
ise_guest Группа безопасности - Глобальная Пользователи с собственными устройствами
ownCloud Группа безопасности - Локальная в домене Для передачи внешним контрагентам (или пользователям корп.сети) файлов объемом больше, чем 10МБ
13. Назначение прав пользователям и на общие сетевые ресурсы осуществлять только на основании групп безопасности в вышеуказанных OU Groups.
14. Серверы должны быть перенесены в OU Серверы.
15. Хосты виртуализации на Microsoft Hyper-V должны быть выделены в отдельное OU.
16. Хосты виртуализации на VMware ESXi (vCenter) должны быть введены в домен и выделены тоже в отдельное OU.
17. В OU Серверы все серверы должны быть разбиты по группам назначения (например, терминальные сервера в отдельном OU, сервера баз данных или 1С – тоже в отдельных и т.д.)
Термины:
Active Directory («Активный каталог», AD) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT
Общий ресурс, или общий сетевой ресурс —это устройство или часть информации, к которой может быть осуществлён удалённый доступ с другого компьютера, обычно через локальную компьютерную сеть или посредством корпоративной сети Интернет, как если бы ресурс находился на локальной машине. Примерами такого могут служить общий доступ к файлам (также известный как общий доступ к диску и общий доступ к папкам), общий доступ к принтеру (совместный доступ к принтеру), сканеру и т. п. Общим ресурсом называется «совместный доступ к диску» (также известным как подключенный диск, «общий том диска», «общая папка», «общий файл», «общий документ», «общий принтер».
Active Directory. Рекомендации по организации https://bga68comp.dreamwidth.org/93800.html ![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
