Active Directory 的本質
- Active Directory(AD) 不只是 ”單一” 的帳號清單,而是 “身分識別和存取權管理 (Identity and access management,IAM) ” 中心
- 擔任第一層的身分安全驗證伺服器
- 管理的核心內容(釐清並定義)
- 誰是誰(身分識別): 可以識別、認證和授權允許使用網域內資源的使用者個人
- 能做什麼(權限授權): 識別和授權該使用者,所能使用的資源 (ex: 硬體和應用程式) 範圍
- 一旦發生 AD 的架構設計錯誤
- 其影響可能持續 5 ~ 10 年(長期)
- 因此在初始設計時需極為慎重(所有設定皆為全網域等級影響)
管理
- 帳號
- 一人一帳號,禁止共用: 嚴禁多位管理員或使用者共用同一個帳號,以確保稽核時的不可否認性
- 命名需一致,以便於識別與管理
- O: “名字.姓名” (ex:
eva.chen) - X: “工號” (ex:
vnxx)
- O: “名字.姓名” (ex:
- 落實密碼策略控管
- 職能分離:應將管理員&服務專用帳號與日常一般帳號分離
- 禁止使用 “真人” (使用者個人) 帳號跑服務
- 平時: 應使用權限較低的一般帳號處理一般事務
- 僅在執行管理工作時: 才切換至管理員帳號,處理較高權限等操作
- 禁止使用 “真人” (使用者個人) 帳號跑服務
- 對於”離職人員”的帳號
- 應採取 「停用而非刪除」 的策略,以保留相關檔案權限與歷史紀錄的完整性
- 停用流程
- 先設定該人員的帳號到期日為今天過期
- 設定完成後,再對該人員的帳戶進行停用
- 停用完成後,帳戶直接移至相對 OU (ex: 離職人員)
- 停用流程
- 應採取 「停用而非刪除」 的策略,以保留相關檔案權限與歷史紀錄的完整性
群組與權限觀念
- 以 ”群組” 為中心的權限模型
- 範圍:人 → 群組 → 權限
- 分類管理:同時明確區分「使用者群組」、「權限群組」與「管理群組」之範疇
- 權限永遠給 “群組” ,不直接給 “人”
- 管理時
- 應將”人員”加入對應”群組”
- 再由”群組”承接”權限”
- 管理時
- 遵循最小權限原則(Least Privilege)
- 管理服務帳號時,應釐清其帳號「能做什麼」(實際需要執行的能力)
- ex: 讀,寫,執行
- 僅授予執行該服務所需的最低必要權限,避免給予額外存取範圍
- 若環境與服務相容且允許的情況下,應考慮優先使用 gMSA (Group Managed Service Account,受管理的服務帳號)
- 管理服務帳號時,應釐清其帳號「能做什麼」(實際需要執行的能力)
組織單位(OU,Organizational Unit)設計核心觀念
- OU 是管理物件(電腦&使用者)邊界,而非單純的檔案分類資料夾
Forest(樹系) └── Domain(網域) └── OU(組織單位) ← GPO 套用之最小管理單位 ├── 使用者/服務專用帳戶 └── 電腦 - 核心設計原則
- OU 為群組原則物件 (GPO) 套用之最小管理單位
- 技術上 GPO 亦可連結至站台或網域層級,但實務設計上通常以 OU 作為主要管理邊界
- 欲套用 GPO 之電腦或使用者物件,必須得先移入對應 OU
- 只有位於目標 OU 中的物件,才會依該 OU 的設計套用相對應的群組原則
- GPO 需連結至 OU 方可對該 OU 內之物件生效
- 若未完成連結,將不會對任何目標物件產生實際影響
- 設計時應以套用群組原則 (GPO) 與權限委派 (Delegation) 為主要導向
- 不建議完全依公司組織圖排列設計,因為那通常不利於原則管理與授權控管
- 避免過深的巢狀結構(建議 2–4 層),讓原則繼承、排錯與權限委派都更容易維護
- OU 為群組原則物件 (GPO) 套用之最小管理單位
網域管理中權力最高的群組
- 在 Active Directory (AD) 架構中,Domain Admins (網域管理員,簡稱 DA) 是網域內三個權限最高的核心群組之一
- 另外兩個權限最高的核心群組為
- Enterprise Admins: 整個樹系(Forest) 的最高權限群組
- 通常只存在於 Forest Root Domain
- 對跨網域與樹系層級的設定有完全控制權
- Administrators: 內建的高權限管理群組
- 成員可不受限制地管理網域與相關資源
- 可修改 Enterprise Admins、Schema Admins、Domain Admins 等群組成員關係
- Enterprise Admins: 整個樹系(Forest) 的最高權限群組
- 群組性質:它是一個位於網域「使用者 (Users)」容器中的全域安全群組
- DA 在其所屬的網域內被視為「全能強大」
- 繼承了許多”敏感”的用戶權利
- 幾乎可以在 AD 及所有已加入網域的電腦/伺服器系統上執行任何動作
- 只要相關群組的帳號遭竊取,則會對網域整個樹系造成毀滅性影響
- 是勒索病毒的第一目標
- 包括但不限於
- 取得檔案或其他物件的擁有權
- 備份與還原檔案及目錄
- 變更系統時間與時區
- 讓電腦與使用者帳戶受信賴以進行委派
- DA 在其所屬的網域內被視為「全能強大」
- 管理規範
- 嚴格限制成員的使用權限
- 嚴禁將所有人(或過多的人)的帳戶加入 Domain Admin 群組
- 唯一的預設成員應僅為該網域的內建系統管理員帳戶
- 職能分離:管理員應將管理專用帳號與日常一般帳號分離
- 登入限制
- Domain Admin 群組帳號不可用於日常登入一般電腦,以防止其憑證在一般工作站上被側錄或竊取
- 最小權限原則
- 禁止濫用具有 Domain Admin 權限的群組
- 只有在「重大」或「緊急」案例中,才需要使用 Domain Admin 成員資格
- 嚴格限制成員的使用權限
- 另外兩個權限最高的核心群組為
總結
- 嚴禁高風險行為
- 禁止濫用或把所有人加入 Domain Admin 群組
- 使用 “真人(使用者)帳號” 跑服務
- 網域控制站部分,直接用快照回復
- AD 不是能拿來 “試試看” 的系統
- 能不動就不要亂動
- 要動一定要知道影響範圍