自主性与隔离性

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

可以设计 Active Directory 逻辑结构来实现以下任一目的:

  • 自治。 涉及对资源的独立但非独占控制。 当你实现自治后,管理员有权独立管理资源;但是,拥有更大权限的管理员也可以控制这些资源,并且可以在必要时夺走控制权。 可以设计 Active Directory 逻辑结构来实现以下类型的自治:

    • 服务自治。 这种类型的自治涉及对全部或部分服务管理的控制。

    • 数据自治。 这种类型的自治涉及对存储在目录中或存储在加入目录的成员计算机上的全部或部分数据的控制。

  • 隔离。 涉及对资源的独立且独占控制。 当你实现隔离后,管理员有权独立管理资源,其他管理员无法夺走对资源的控制。 可以设计 Active Directory 逻辑结构来实现以下类型的隔离:

    • 服务隔离。 防止管理员(除专门被指定来控制服务管理的那些管理员之外的管理员)控制或干扰服务管理。

    • 数据隔离。 防止管理员(除专门被指定来控制或查看数据的那些管理员之外的管理员)控制或查看目录中或加入目录的成员计算机上的数据子集。

仅需要自治的管理员接受具有同等或更大管理权的其他管理员对服务或数据管理拥有同等或更大的控制权。 需要隔离的管理员对服务或数据管理拥有独占控制权。 创建实现自治的设计通常比创建实现隔离的设计成本要低。

在 Active Directory 域服务 (AD DS) 中,管理员可以委派服务管理和数据管理,以实现组织之间的自治或隔离。 组织的服务管理、数据管理、自治和隔离要求的组合会影响用于委派管理的 Active Directory 容器。

隔离和自治要求

需要部署的林数根据组织内每个组的自治和隔离要求而定。 若要确定林设计要求,则必须确定组织中所有组的自治和隔离要求。 具体而言,必须确定数据隔离、数据自治、服务隔离和服务自治的需求。 还必须确定组织中连接受限的区域。

数据隔离

数据隔离涉及拥有数据的组或组织对数据的独占控制。 请务必注意,服务管理员能够从数据管理员手中夺走对资源的控制权。 数据管理员无法阻止服务管理员访问他们控制的资源。 因此,当组织内有另一个组负责服务管理时,则无法实现数据隔离。 如果某个组需要数据隔离,该组还必须承担服务管理的责任。

由于无法将存储在 AD DS 中和存储在加入 AD DS 的计算机上的数据与服务管理员隔离开来,因此,组织内的组实现完全数据隔离的唯一方法是为这些数据创建单独的林。 遭到恶意软件或被强迫的服务管理员的攻击后会受到重大影响的组织可能会选择创建单独的林来实现数据隔离。 法律要求通常会产生对实现此类数据隔离的需求。 例如:

  • 按照法律规定,一家金融机构需要将属于特定司法管辖区内客户端的数据的访问权限限制为位于该司法管辖区内的用户、计算机和管理员。 尽管该机构信任在受保护区域外工作的服务管理员,但如果违反此访问限制,该机构将无法再在该司法管辖区开展业务。 因此,该金融机构必须将数据与该司法管辖区外的服务管理员隔离开来。 请注意,加密并非总是此解决方案的替代方法。 加密可能无法阻止服务管理员对数据进行操作。

  • 按照法律规定,一个国防承包商需要将项目数据的访问权限限制为一组指定的用户。 尽管该承包商信任控制与其他项目相关的计算机系统的服务管理员,但违反此访问限制将导致该承包商失去业务。

    注意

    如果你有数据隔离要求,则必须决定是需要将数据与服务管理员隔离开来,还是将数据与数据管理员和普通用户隔离开来。 如果你的隔离要求基于与数据管理员和普通用户相隔离,则可以使用访问控制列表 (ACL) 来隔离数据。 在此设计过程中,与数据管理员和普通用户相隔离不被视为数据隔离要求。

数据自治

数据自治涉及组或组织管理其自己的数据的能力,包括做出有关数据的管理决策和执行任何所需的管理任务,而无需获得其他机构的批准。

数据自治不会阻止林中的服务管理员访问数据。 例如,一个大型组织中的某个研究组可能希望能够自行管理其特定于项目的数据,但不需要阻止林中的其他管理员访问这些数据。

服务隔离

服务隔离涉及对 Active Directory 基础结构的独占控制。 需要服务隔离的组要求组外部的任何管理员都不能干扰目录服务的操作。

操作或法律要求通常会产生对实现服务隔离的需求。 例如:

  • 一家制造公司有一个关键的应用程序,用于控制厂房中的设备。 不能使组织网络其他部分的服务出现的中断干扰到厂房的运作。

  • 一家托管公司向多个客户端提供服务。 每个客户端都需要服务隔离,这样一来,影响某一客户端的任何服务中断便不会影响到其他客户端。

服务自治

服务自治涉及在不要求独占控制的情况下管理基础结构的能力;例如,当组想要在未经林所有者批准的情况下更改基础结构(例如添加或删除域、修改域名系统 (DNS) 命名空间,或修改架构)。

对于组织内希望能够控制 AD DS 的服务级别(通过按需添加和删除域控制器)的组,或对于需要能够安装需要架构扩展的已启用目录的应用程序的组,可能需要服务自治。

连接受限

如果组织内的组拥有由约束或限制网络之间连接的设备(例如防火墙和网络地址转换 (NAT) 设备)分隔的网络,这可能会对林的设计造成影响。 在确定林设计要求时,请务必记下网络连接受限的位置。 此信息是使你能够做出有关林设计的决策所必需的。