Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Proč je forest security boundary a proč nelze oddělit Domain Admins z různých domén stejného forestu
červen 18
Proč je forest security boundary a proč nelze oddělit Domain Admins z různých domén stejného forestu

Zase navazuji na něco, co jsem tu už před nějakou dobou nakousl. Jde o to, že celý forest je security boundary. Někdo totiž dělá společný forest a do něho samostatné domény proto, aby oddělil jednotlivé doménové administrátory.

Scénář je obvykle následující. Nadnárodní korporace konsoliduje národní prostředí do společného forestu. Takže někdo pak řeší otázku - jak nechat národní adminy, aby byli členem Domain Admins ve svých doménách. A měli u sebe také nějaká DC (řadiče domény).

Tím chtějí dosáhnout dvou věcí. Jednoduchá správa na straně národní domény a přitom "bezpečnost", aby se národní správci nedostali do ostatních domén.

Blbost. Když budou chtít, dostanou se tam v pohodě. Proč?

Každé DC z celého forestu si replikuje oddíl (partition) Active Directory, který se jmenuje Configuration (CN=Configuration). Každé DC má tuhle část u sebe. A každé DC do jeho celého obsahu umí a může zapisovat - to dál už umí jen skupina Enteprirse Admins z forest root domény. Tohle je zcela zásadní celoforestová konfigurace, kterou všechna DC berou jako autoritativní.

Jestliže do toho uděláme na jednom DC nějakou změnu, všechna DC si věří, takže si to taky poreplikují a podle toho se zařídí. V podstatě tedy stačí spustit nějakou vhodnou modifikaci pod účtem SYSTEM na nějakém DC a hotovo.

Co mě napadlo za vhodné modifikace

Například site linked group policy objects (site GPOs). Nebo přiinstalovat si vlastní NTAuth certifikační autoritu, která umí vydávat přihlašovací certifikáty. Nebo změnit obsah nějakého vhodného active directory property setu.

V podstatě by šlo modifikovat i schema. Prostě byste dočasně seizenuli Schema FSMO roli na svoje DC a pak to zase vrátili. A pak změna default security descriptor.

Ale podívejme se na příklad nejjednodušší - tedy site linked GPO

Scénář - máme subdoménu nazvanou italytraining.com (NetBIOS jméno je IT). Forest se jmenuje gopas.virtual (NetBIOS jméno GPS). Sice ten italytraining.com není subdoména podle jména, ale to je úplně jedno. Prostě je to další doména uvnitř společného forestu, který se jmenuje gopas.virtual.

Jsme správci italytraining.com a chceme se stát správcem libovolné jiné domény z forestu gopas.virtual.

Potom už postupujeme na ukázku podle obrázků níže:

  1. na jednom z našich sub-domain DC italytraining.com spustíme gpmc.msc pod účtem SYSTEM. Použijeme k tomu psexec.
  2. v konzoli vytvoříme nový GPO
  3. tento nový GPO nalinkujeme na správnou AD site. Nebudeme to připojovat na doménu, na naší doméně by nám to bylo na nic. Protože pracujete pod účtem SYSTEM, můžete to připojit na sajtu v pohodě. Jinak byste museli být členem Enterprise Admins a to zrovna právě nejsme.
  4. teď se to bude aplikovat na celou sajtu. Ještě to samozřejmě můžete omezit pomocí security filtering., aby se to nevstahovalo i na členské počítače, které jsou v té sajtě - tedy dáte tam jenom GPS\Domain Controllers.
  5. no a uvnitř objektu se použije už jen běžné Restricted Groups. Prostě tam nastavíte, aby skupina Administrators obsahovala vaši skupinu Domain Admins ze sub-domény italytraining.com. Nebo samozřejmě jakoukoliv jinou sadu uživatelů podle libosti. Zde bych jenom poznamenal, že pro skupinu Domain Admins to nefunguje, protože to je global skupina a nemůže obsahovat členy z jiných domén. Můžete tam dát jenom Administrators, nebo Enteprise Admins.
  6. až tuhle politiku zavede řadič z root domény gopas.virtual, prostě si nastaví obsah Administrators tak, jak chcete vy. Pěkné ne?

Závěr

Ano, tohle je jenom jeden demonstrační příklad, kterému lze jednoduše zabránit. Jenže takových příkladů může být v podstatě nekonečně. Princip je jasný. Jestliže každé DC replikuje něco (Configuration partition), co jiná DC mohou v pohodě změnit, není ochrana. I kdybyste zablokovali každý jednotlivý nápad, který někdo vymyslel, určitě vymyslí někdo další ještě něco jiného.

Oddělit domény lze pouze do samostatných forestů. Pokud to bude v jednom, má to prostě společného admina a hotovo.

Comments

Admini jinak?

A co kdyby ti admini v podřízené doméně nebyli Admini v pravém slova smyslu, ale byli pouze ve spec. skupině s oddelegovanými oprávněními? Ideálně žádný DC fyzicky k dispozici :o)) Ale to samozřejmě záleží na scénáři.
RaT on 18.6.2014 20:48

Re: Proč je forest security boundary a proč nelze oddělit Domain Admins z různých domén stejného forestu

jasně, ale to už není potom potřeba dělat regionální domény. míc více domén je zbytečně komplexní. stačí potom samozřejmě jedna a rozdělíme to podle OU.

to je přesně ten problém - lidi by rádi rozdělili prostředí na samostatné domény, aby mohli velice jednoduše dávat rovnou Domain Admins a přitom to nechali v jednom forestu, aby jim jel pohodlně Exchange a Lync.

Jenže tohle není cesta. Buď to udělám do jedné domény a budu mít více práce s omezením/udělením přístupu do určitých OU, nebo to udělám do samostatných domén, ale potom zase budu mít víc práce s Exchange a Lync.
ondass on 19.6.2014 11:18

Re: Proč je forest security boundary a proč nelze oddělit Domain Admins z různých domén stejného forestu

Jojo, dyť u nás jsme to sááááhodlouze řešili. A stejně nevyřešili :o)) Máme jeden forest, jedu doménu a oddelegovaný OUčka. Myslím, že to byla dobrá volba. Ikdyž dneska bych se už na to vybodl a dal to všechno "dokopy", protože správci OUček na to kašlou, šéf jim to baští, takže stejně všechno dělám já (třeba i výpisy uživatelů z OU do .txt)... :o)
RaT on 19.6.2014 18:13

Re: Proč je forest security boundary a proč nelze oddělit Domain Admins z různých domén stejného forestu

ke kompromitaci celého forestu, například přes účet DirSync pro Office365 se zmiňuju taky zde: https://www.sevecek.com/Lists/Posts/Post.aspx?ID=511
ondass on 5.8.2015 20:36

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments