...
| Info |
|---|
|
Extended Forest
| Info |
|---|
Advantages: Disadvantages: – The Local Active Directory infrastructure is accessible to domain-joined computers or domain users in the perimeter network. |
Forest with child domains
| Info |
|---|
Advantages: Disadvantages: |
Isolated Forests
| Info |
|---|
Advantages: Disadvantages: |
AD 포리스트 (Active Directory 포리스트)는 도메인, 사용자, 컴퓨터 및 그룹 정책이 포함 된 Active Directory 구성 에서 최상위 논리 컨테이너입니다 .
"그러나 기다리십시오."라고 말합니다. "Active Directory가 하나의 도메인이라고 생각 했습니까?"
단일 Active Directory 구성에는 둘 이상의 도메인이 포함될 수 있으며 도메인 위 의 계층을 AD 포리스트라고합니다. 각 도메인 아래에 여러 개의 나무가있을 수 있으며 나무의 숲을보기가 어려울 수 있습니다.
이 추가 최상위 계층은 보안 문제를 야기하고 악용 가능성을 높이지만 필요한 경우 격리 및 자율성을 향상시킬 수 있습니다. 트릭은 AD 포리스트와 이를 보호하기위한 다양한 전략을 이해 하는 것 입니다.
포레스트 디자인을 만드는 방법?
포리스트를 만들거나 정리해야 할 포리스트를 상속했다고 가정 해 보겠습니다. 하나 이상의 포리스트에서 여러 개의 다른 도메인과 GPO 를보고 통합 또는 획득의 초기 시도로 인해 공존하려고하는 것이 일반적 입니다.
먼저 완전히 별도의 보안 정책을 요구하는 조직 요구 사항이 있는지 확인하십시오. 데이터 보안에 중점을두고 대화를 구성하십시오.
- AD 포리스트 수준에서 설정할 수있는 초과 정책이 있습니까?
- 다른 보안 정책 또는 분리 된 네트워크 연결을 가진 추가 도메인이 필요합니까?
- 이 있습니까 법적 숲에서 별도의 도메인을 요구하거나 응용 프로그램 요구 사항은?
"자율 및 격리"요구 사항이 문서화되면 디자인 팀은 각 팀 또는 조직의 요구에 따라 포리스트, 도메인 및 GPO를 구축 할 수 있습니다.
몇 개의 숲이 필요합니까?
경우에 따라 자율성 또는 격리 요구 사항에 따라 별도의 AD 포리스트를 만들어야 할 수도 있습니다. 포리스트를 추가하면 AD 스키마 관리가 복잡해집니다. AD 스키마에 다른 포리스트를 추가하기로 결정한 경우 고려해야 할 사항이 있습니다.
- 두 번째 포리스트를 만들지 않고도 충분한 격리를 달성 할 수 있습니까?
- 모든 이해 당사자가 별도의 산림의 영향을 이해하고 있습니까?
- 2 개의 개별 포리스트를 관리하면 응용 프로그램 서버와 IT 비용이 두 배가됩니다.
- 다른 포리스트를 관리 할 수있는 리소스가 있습니까?
- 단일 IT 팀이 두 AD 포리스트를 모두 관리해서는 안됩니다. 보안 전문가는 업무 분리를 위해 포리스트 당 하나의 IT 팀을 권장합니다.
- 모범 사례는 하나의 AD의 숲으로 신규 또는 인수 도메인을 마이그레이션하는 것입니다.
단일 포리스트 및 다중 포리스트 Active Directory 디자인
단일 AD 포리스트는 장기적으로 더 간단한 솔루션이며 일반적으로 모범 사례로 간주됩니다. GPO, 기존 데이터 소유자 및 최소 권한 모델을 활용하여 여러 도메인이있는 2 차 AD 포리스트의 추가 오버 헤드없이 안전한 환경을 만들 수 있습니다.
다중 포리스트는 두 도메인에 걸쳐 추가 보안 계층을 제공하지만 IT 비용이 크게 증가합니다. 다중 포리스트는 기본적으로 보안을 강화하지 않습니다. 당신은 여전히 필요 구성 GPO를 각 AD 포리스트에 적절하게 및 권한.
숲 설계 모델
AD 포리스트를 디자인하는 기본 방법에는 세 가지가 있습니다. 이러한 디자인을 조합하여 조직의 보안 요구를 충족시킬 수 있습니다. 모든 Active Directory에는 하나 이상의 AD 포리스트가 있으며 비즈니스 및 보안 목표를 달성하기 위해 여러 AD 포리스트가 필요한 경우가 있습니다. 다음은 몇 가지 다른 포리스트 모델입니다. 각 모델마다 장단점이 다르고 고유 한 사용 사례가 있습니다.
조직의 산림 모델
조직 포리스트에서는 사용자 계정과 리소스가 함께 저장되고 관리됩니다. 이것이 표준 구성입니다.
조직의 포리스트 모델의 특징 :
- 포리스트의 사용자 및 리소스에 자율성을 제공합니다.
- 포리스트 외부의 모든 사람으로부터 서비스 및 데이터를 격리
- 포리스트 간 트러스트 관계를 통해 외부 포리스트에있는 일부 리소스에 액세스 할 수 있습니다.
자원 숲 모델
리소스 포리스트는 사용자 계정과 리소스를 다른 포리스트로 분리합니다. 이 구성을 사용하여 제조 시스템 또는 미션 크리티컬 시스템을 기본 포리스트와 분리하므로 한 포리스트에 문제가 있으면 다른 포리스트를 계속 사용할 수 있습니다.
자원 삼림 모델의 특성 :
- 사용자는 조직의 포리스트에 살고
- 자원은 하나 이상의 추가 포리스트에 있습니다.
- 대체 관리 사용자 계정 만 리소스 포리스트에 있습니다.
- 트러스트를 통해 사용자와 리소스 공유 가능
- 이 모델은 서비스 격리를 제공하므로 한 포리스트가 중단되면 다른 포리스트는 계속 정상적으로 작동합니다.
제한된 액세스 포리스트 모델
제한된 액세스 포리스트는 다른 포리스트와 사용자 및 리소스를 완전히 분리합니다. 이 구성을 사용하여 데이터를 완전히 보호하고 사용자를 특정 데이터 세트로 제한합니다.
제한된 접근 포리스트 모델의 특성 :
- 다른 포리스트에는 트러스트가 없습니다
- 다른 포리스트의 사용자는 제한된 액세스 포리스트의 리소스에 액세스 할 수 없습니다
- 제한된 포리스트에 액세스하려면 두 번째 컴퓨터가 필요합니다
- 필요한 경우 완전히 별도의 네트워크에 보관 가능
Active Directory 포리스트 모범 사례
AD 포리스트는 2000 년부터 사용되어 왔으므로 Active Directory 및 포리스트를 구성하는 가장 좋은 방법에 대한 여러 가지 이론이 있습니다. 현재 모범 사례는 다음과 같습니다.
- 가능하면 단일 포리스트로 통합
- GPO를 통한 리소스 및 데이터 보안 및 최소 권한 모델 적용
- GPO를 사용하면 설정된 프로세스를 수행하지 않고도 새 폴더를 만들 수있는 기능을 추가로 제한 할 수 있습니다. 적어도 특권 권한 모델 .
- 도메인 관리자에게 변경 관리 프로세스마다 필요할 때만 사용하는 두 번째 관리자 계정을 부여하십시오.
- 트러스트 관계가있는 여러 AD 포리스트가있는 경우 통합을 고려하십시오.
- 제한된 액세스 포리스트를 만들어야하는 경우 실제로 제한되어 있는지 확인하십시오. 기본 포리스트가 원하는만큼 안전하기 때문에 제한된 액세스 포리스트는 Castle Black이어야합니다. 700 '벽을 그 주위에 놓고 그것을 유지하십시오.
Active Directory가 왕국에 대한 키를 보유하고있는 경우 AD 포리스트가 이러한 키의 핵심 고리입니다. Active Directory 를 보호 할뿐만 아니라 데이터 유출을 방지하고 데이터 감소를 방지하기 위해 AD 포리스트를 구성 및 관리하는 방법을 이해하는 것이 중요합니다. 보안 취약점.
AD 포리스트 수에 관계없이 Active Directory를 보호하는 방법에 대해 자세히 알고 싶으십니까? Active Directory에서 5 개의 FSMO 역할에 대해 알아보고 Windows 용 AD와 Azure Active Directory 의 차이점을 확인하십시오 .
오디오 / 비주얼 경험을 선호하십니까? Active Directory 보안을위한 4 가지 팁 에 대한 주문형 웨비나를 시청하십시오 .