Добавление компьютеров в домен на сайте контроллера домена с ограниченными правами (RODC)

Вопрос или проблема

У меня есть сайт с ужасной физической безопасностью и ужасным сетевым подключением. Поэтому мне нужен контроллер домена на месте (на случай, если сеть будет отключена), но он также должен быть RODC по соображениям безопасности.

Машины на этом офисе имеют доступ к другим контроллерам домена с правами на запись в других частях сети. Между ними нет файрвола, который бы их блокировал. Я просто не хочу, чтобы кто-то мог подключить клавиатуру/мышь к нашему контроллеру домена на месте и вносить изменения.

При добавлении новых машин в домен на этом сайте, нужно ли мне следовать процессу создания объекта компьютера в AD и затем выполнять офлайн-присоединение к домену (https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd392267(v=ws.10))? Или я могу как-то заставить машины, которые в данный момент не являются частью домена, перейти к RWDC (настроенному в другом сайте AD), чтобы быть добавленными в домен обычным способом?

К сожалению, похоже, что вам придется создать учетную запись компьютера, а затем синхронизировать её через ваш AD-домен, как вы уже нашли:

https://docs.centrify.com/en/css/2017.3-html/index.html#page/Planning,_preparation,_and_deployment/How_to_join_a_domain_with_a_read-only_domain_con.5.html

Есть скрипт, который я нашел, который утверждает, что он также может это сделать:

https://gallery.technet.microsoft.com/Domain-Join-through-an-9a010eb5

Большинство скриптов, которые я нахожу на TechNet Gallery, работают великолепно. Однако, поскольку у меня нет RODC, я не могу протестировать, к сожалению. Возможно, есть способ перенаправить его на другой DC, который принадлежит другому сайту, но если у вас строгие требования по безопасности, это может быть плохой идеей.

Редактировать

Если вы собираетесь попытаться указать его на другой DC, я думаю, что это будет так же просто, как настроить DNS клиентов для указания на RWDC. Затем либо через DHCP, либо вручную сбросить настройки IP, особенно DNS на RODC. Но опять же, если у вас есть требования, которым нужно соответствовать, это может не приветствоваться.

Ответ или решение

Вопрос: Добавление машин в домен на контроллере домена только для чтения (RODC)

Ваша ситуация требует внимательного рассмотрения подходов к добавлению новых машин в домен, особенно с учётом повышенных требований к безопасности и ограниченного сетевого подключения. Добавление машин на контроллер только для чтения (RODC) может быть непростой задачей из-за его ограничений, и ниже мы рассмотрим наиболее оптимальные варианты.

Проблема

Вы находитесь в офисе с плохой физической безопасностью и ненадежным интернет-соединением, что требует наличия локального контроллера домена для обеспечения доступа к ресурсам в оффлайн-режиме. При этом, необходимо минимизировать риск несанкционированного доступа к контроллеру домена. Вы хотите добавить новые рабочие станции в домен без выяснения, как это сделать с помощью RODC, и рассматриваете возможность подключения к более правочитаемому контроллеру домена (RWDC) в другом месте.

Подходы к решению

  1. Создание объекта компьютера в AD и оффлайн-присоединение: В вашем случае, единственный надежный способ добавить машины в домен через RODC – это создать объект компьютера в Active Directory (AD) на любом доступном RWDC. Это потребуется сделать заранее, после чего вы можете использовать метод оффлайн-присоединения для машин в вашем офисе. Это поможет избежать каких-либо рисков безопасности, связанных с физическим доступом к контроллеру домена.

  2. Использование сценариев: Вы можете использовать сценарии, которые могут помочь сигнизировать создание объекта компьютера и его оффлайн-добавление. Например, вы упомянули сценарий на TechNet, который, судя по отзывам, работает достаточно эффективно. Обратите внимание, что тестирование таких сценариев желательно проводить в перенастроенной среде, чтобы убедиться в подлинности выполнения всех функций.

  3. DNS-Настройка для перенаправления на RWDC: Альтернативным подходом может быть изменение настройки DNS на клиентских машинах, чтобы они указывали на RWDC. Однако это решение имеет свои риски, особенно если ваша организация придерживается строгих мер безопасности. В таком случае, машины, присоединяясь к домену, могут попытаться использовать RWDC, минуя RODC.

  4. Рекомендации по соблюдению безопасности: Соответствие требованиям безопасности должно быть в центре вашего внимания. Прежде чем применять любой из вышеперечисленных методов, убедитесь, что вы ознакомлены с внутренними политиками безопасности и требованиями комплаенса. Если вы всё же решите перенаправить на RWDC, следует задать дополнительные фильтры и записи в журналах для наблюдения за активностью.

Заключение

Сложные условия вашей офисной среды определяют необходимость тщательного планирования и внедрения безопасного подхода к добавлению новых машин в домен. Использование RODC полезно для обеспечения доступа в условиях ограниченной связи, но также требует дополнительных шагов, таких как создание объектов компьютеров заранее и использование оффлайн-присоединения. Рассмотрите возможность использования автоматизированных сценариев для определения эффективного и безопасного способа добавить новые машины. В итоге, ваши усилия должны быть направлены не только на технические решения, но и на соблюдение высоких стандартов безопасности в вашей организации.

SEO-Элементы

  • Ключевые слова: RODC, добавление машин в домен, безопасность AD, оффлайн-добавление, RWDC, сценарии TechNet.
  • Метаданные: Рассматриваются различные подходы к безопасности и добавлению машин к RODC в условиях низкой безопасности и ограниченного соединения.
Оцените материал
Добавить комментарий

Капча загружается...