安全な管理ADドメイン

あなたの同僚が言及しているのは、非常に昔に受け入れられる慣行と考えられていたものです 。それはもはや事実ではありません（そして私はそれが15年前でさえ疑わしい価値であったと主張します）。フォレスト（ドメインではない）がセキュリティ境界のある場所であるため、このセットアップ（存在する場合）から得られる追加のセキュリティは非常に限られており、複雑さが増し、Microsoftが使用を推奨しなくなった子ドメインを処理する必要があります。非常に限られた数のケースを除いて（クルーズ船は、子ドメインが理にかなっている組織の残りの例です）。

あなたの同僚は間違っています、そしてあなたはこれをするべきではありません。代わりに、それを正しく行い、15年前にActive Directoryの元のバージョンで少し価値があったかもしれない実装を提案するために、彼を頭をひっくり返すことを検討する必要があります。それを正しく行い、Active Directoryを適切に強化する方法については、同僚の提案は良い考えではないということを除いて、十分な情報に基づいた推奨を行うのに十分な情報を提供していません。 （個人的には、空のフォレストルートを提案した人からのそれ以上の提案は無視します。ActiveDirectoryに関して何について話しているかを知っている人は、そもそもそのようなことを提案しません。）

実際には、管理アカウントとグループ用に別の要塞フォレストを用意する方が安全です。あなたはここでそれについてもっと読むことができます：

Active Directoryドメインサービス（AD DS）の特権ID管理 https://technet.Microsoft.com/en-us/library/mt150258.aspx

100の場所にドメインコントローラーがある本番フォレストがあるとします。また、要塞の森には、メインのデータセンターにのみドメインコントローラーがあります。本番フォレストに侵入があった場合、管理ドメインコントローラーとデータベース/ krbtgtアカウントのリスクは低くなります。また、要塞フォレストには通常、より制限されたセキュリティ設定があり、一方向のフォレストの信頼を持つことができます（本番フォレストは要塞フォレストを信頼しますが、その逆はありません）。期間限定のグループメンバーシップ/アクセスのための新しいPIM機能も、セキュリティが向上しています。

あなたの同僚は、空のルートドメインと1つ以上の子ドメインを使用するフォレストモデルについて話していると思います。ルートドメインには、Enterprise Adminsグループ、Schema Adminsグループ、およびSchema MasterFSMOロールとDomainNamingマスターロールのみが格納されます。これで、エンタープライズ管理者グループが子ドメインを完全に制御できるようになります。アイデアは、これらの強力なグループを他の管理者や潜在的な侵害から保護することでした。子ドメインには、標準のDomainAdminsグループと組み込みのOperatorグループが引き続き含まれます。すべての標準ユーザーアカウントは子ドメインで作成されます。

これらはまだこのモデルのいくつかのユースケースである可能性がありますが、一般に、AD構造をできるだけ単純に保つように努める必要があり、単一ドメインモデルは可能な限り単純です。

興味深いことに、Windows Server 2016は、管理者グループの保護を強化します。

お役に立てれば