Zase navazuji na něco, co jsem tu už před nějakou dobou nakousl. Jde o to, že celý forest je security boundary. Někdo totiž dělá společný forest a do něho samostatné domény proto, aby oddělil jednotlivé doménové administrátory.
Scénář je obvykle následující. Nadnárodní korporace konsoliduje národní prostředí do společného forestu. Takže někdo pak řeší otázku - jak nechat národní adminy, aby byli členem Domain Admins ve svých doménách. A měli u sebe také nějaká DC (řadiče domény).
Tím chtějí dosáhnout dvou věcí. Jednoduchá správa na straně národní domény a přitom "bezpečnost", aby se národní správci nedostali do ostatních domén.
Blbost. Když budou chtít, dostanou se tam v pohodě. Proč?
Každé DC z celého forestu si replikuje oddíl (partition) Active Directory, který se jmenuje Configuration (CN=Configuration). Každé DC má tuhle část u sebe. A každé DC do jeho celého obsahu umí a může zapisovat - to dál už umí jen skupina Enteprirse Admins z forest root domény. Tohle je zcela zásadní celoforestová konfigurace, kterou všechna DC berou jako autoritativní.
Jestliže do toho uděláme na jednom DC nějakou změnu, všechna DC si věří, takže si to taky poreplikují a podle toho se zařídí. V podstatě tedy stačí spustit nějakou vhodnou modifikaci pod účtem SYSTEM na nějakém DC a hotovo.
Co mě napadlo za vhodné modifikace
Například site linked group policy objects (site GPOs). Nebo přiinstalovat si vlastní NTAuth certifikační autoritu, která umí vydávat přihlašovací certifikáty. Nebo změnit obsah nějakého vhodného active directory property setu.
V podstatě by šlo modifikovat i schema. Prostě byste dočasně seizenuli Schema FSMO roli na svoje DC a pak to zase vrátili. A pak změna default security descriptor.
Ale podívejme se na příklad nejjednodušší - tedy site linked GPO
Scénář - máme subdoménu nazvanou italytraining.com (NetBIOS jméno je IT). Forest se jmenuje gopas.virtual (NetBIOS jméno GPS). Sice ten italytraining.com není subdoména podle jména, ale to je úplně jedno. Prostě je to další doména uvnitř společného forestu, který se jmenuje gopas.virtual.
Jsme správci italytraining.com a chceme se stát správcem libovolné jiné domény z forestu gopas.virtual.
Potom už postupujeme na ukázku podle obrázků níže:
- na jednom z našich sub-domain DC italytraining.com spustíme gpmc.msc pod účtem SYSTEM. Použijeme k tomu psexec.
- v konzoli vytvoříme nový GPO
- tento nový GPO nalinkujeme na správnou AD site. Nebudeme to připojovat na doménu, na naší doméně by nám to bylo na nic. Protože pracujete pod účtem SYSTEM, můžete to připojit na sajtu v pohodě. Jinak byste museli být členem Enterprise Admins a to zrovna právě nejsme.
- teď se to bude aplikovat na celou sajtu. Ještě to samozřejmě můžete omezit pomocí security filtering., aby se to nevstahovalo i na členské počítače, které jsou v té sajtě - tedy dáte tam jenom GPS\Domain Controllers.
- no a uvnitř objektu se použije už jen běžné Restricted Groups. Prostě tam nastavíte, aby skupina Administrators obsahovala vaši skupinu Domain Admins ze sub-domény italytraining.com. Nebo samozřejmě jakoukoliv jinou sadu uživatelů podle libosti. Zde bych jenom poznamenal, že pro skupinu Domain Admins to nefunguje, protože to je global skupina a nemůže obsahovat členy z jiných domén. Můžete tam dát jenom Administrators, nebo Enteprise Admins.
- až tuhle politiku zavede řadič z root domény gopas.virtual, prostě si nastaví obsah Administrators tak, jak chcete vy. Pěkné ne?
Závěr
Ano, tohle je jenom jeden demonstrační příklad, kterému lze jednoduše zabránit. Jenže takových příkladů může být v podstatě nekonečně. Princip je jasný. Jestliže každé DC replikuje něco (Configuration partition), co jiná DC mohou v pohodě změnit, není ochrana. I kdybyste zablokovali každý jednotlivý nápad, který někdo vymyslel, určitě vymyslí někdo další ještě něco jiného.
Oddělit domény lze pouze do samostatných forestů. Pokud to bude v jednom, má to prostě společného admina a hotovo.