Authentication Policys Silos pour Tiering Model Active Directory

Question

Bonjour,

J'essaie de mettre en place les stratégies d'authentification silo, j'ai déjà déployé le modèle de Tiering 0,1 et 2 et les GPO qui vont avec:

• les utilisateurs adm-T0 ne peuvent se connecter qu'aux AD qui sont pour le moment les seuls serveurs en Tiers0
• les utilisateurs pawadm-T0 ne peuvent se connecter qu'aux stations d'administration du Tiers 0 qui permettent via rebond de se connecter aux AD avec le compte adm-T0.
• les utilisateurs adm-T1 ne peuvent se connecter qu'aux serveurs du Tiers 1 (Serveurs DFS / WSUS / Autre)
• les utilisateurs pawadm-T1 ne peuvent se connecter qu'aux station d'administration du Tiers 1 qui permet via rebond de se connecter aux serveur du Tiers1
• les utilisateurs adm-T2 ne peuvent se connecter qu'aux stations de travail
• les utilisateurs pawadm-T2 ne peuvent se connecter qu'aux stations d'administration du Tiers 2 qui permet via rebond de se connecter aux stations du Tiers2

J'ai déjà configuré une partie des silos pour limiter adm-T0 à ne se connecter qu'aux AD seulement sans pour autant pouvoir indiquer l'ordinateur sources étant autorisé à initier la connexion.

La problématique est d'autoriser les adm-T0 à se connecter seulement aux AD et seulement depuis les machines d'administration T0.

Comment faire pour configurer cette politique de silos en combinant utilisateurs et machines autorisées à initier la connexion ?

Answer 1

Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

Salut Ant P.

Pour configurer une stratégie de silo qui combine les utilisateurs et les ordinateurs autorisés à initier la connexion, vous pouvez utiliser les fonctionnalités Stratégies d’authentification et Silos de stratégie d’authentification dans Active Directory. Voici les étapes à suivre :

1. Créez un nouveau silo de stratégie d’authentification pour les utilisateurs ADM-T0 qui leur permettra uniquement de se connecter aux AD à partir de machines de gestion de niveau 0.
2. Créez une stratégie d’authentification qui spécifie le groupe d’utilisateurs ADM-T0 et les machines de gestion de niveau 0 en tant qu’ordinateurs sources autorisés.
3. Liez la stratégie d’authentification au silo de stratégie d’authentification.
4. Appliquez le silo de stratégie d’authentification aux serveurs de niveau 0 appropriés.
5. Testez la configuration pour vous assurer que les utilisateurs ADM-T0 ne peuvent se connecter à des AD qu’à partir de machines de gestion de niveau 0.

Remarque : Vous devrez peut-être ajuster les objets de stratégie de groupe existants pour vous assurer qu’ils n’entrent pas en conflit avec le nouveau silo de stratégie d’authentification.

Sinceres salutations

Qiuyang

Answer 2

Bonjour Qiuyang Xi,

J'ai correctement configuré la stratégie d'authentification en spécifiant N'importe lequel dans le groupe T0-Scope (PAW-T0 et ADM-T0) dans la partie ordinateurs de la stratégie.

Les utilisateurs ADM-T0 peuvent bien se connecter aux contrôleurs de domaine mais depuis n'importe quel machine, c'est comme si les ordinateurs PAW-T0 n'étaient pas pris en compte dans la stratégie d'authentification.

Dans le silo de stratégie d'authentification, j'ai spécifié en compte autorisés les deux contrôleurs de domaine.

Autre problème critique, si j'applique ce silo sur les contrôleur de domaine, seul les ADM-T0 peuvent se connecter aux DC qui est le comportement attendu, cependant cela bloque par la suite l'authentification de tous les utilisateurs sur le domaine entier ! C'est à dire qu'il ne peuvent plus se connecter à la solution VSphere pour accéder à leur machine virtuelle, ne pleuvent plus se connecter à leur machine linux, ni à leur machine Windows.

J'ai compris qu'il ne faut jamais appliquer de stratégie de silo sur les contrôleurs de domaines, autrement cela casse l'authentification pour les autres utilisateurs.

Answer 3

Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

Salut Ant P.

En ce qui concerne le problème des ordinateurs PAW-T0 qui ne sont pas inclus dans la stratégie d’authentification, il est possible qu’il y ait une mauvaise configuration dans les paramètres de la stratégie. Je vous recommande de vérifier les paramètres de stratégie pour vous assurer qu’ils sont correctement configurés pour les groupes ADM-T0 et PAW-T0.

En ce qui concerne le problème d’application de la stratégie de silo sur les contrôleurs de domaine, il n’est pas recommandé d’appliquer une stratégie de silo sur les contrôleurs de domaine, car cela peut entraîner des problèmes d’authentification pour les autres utilisateurs. Il est recommandé d’appliquer la stratégie sur des ordinateurs ou des groupes d’ordinateurs spécifiques.

J’espère que ces informations vous aideront. Si vous avez d’autres questions ou préoccupations, n’hésitez pas à les poser.

Cordialement

Qiuyang

Answer 4

Merci pour ces deux renseignements.

Donc je résume, si je souhaite appliquer les silos d'authentification pour les compte ADM-T0 qui sont membres du groupe Admins du domaine, je peux uniquement configurer la durée du ticket TGT mais pas spécifier qu'ils ne peuvent se connecter que sur les DC, auquel cas je bloquerait tout les utilisateurs du domaine car cela s'applique au DC donc AD global.

Comme je bloque déjà les connexions des ADM-T0 sur les autres serveurs et Tiers 1/2 autres que les DC grâce aux GPO via Deny Logon, ce n'est pas un problème.

Mais je pensais qu'il était possible avec les silos de n'autoriser la connexion d'administration au DC que depuis les PAW-T0.

Vous me confirmez donc qu'il n'est pas possible de restreindre les ordinateurs sources pouvant se connecter au DC (pour l'administration) via les silos.

Je peux très bien le faire avec les règles pare-feu en précisant la machine sources et utilisateurs.

Cependant je souhaitais appliquer le silo pour les membres privilégiés pour répondre aux exigences de sécurités afin d'augmenter notre score d'audit AD.

Answer 5

Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

Salut Ant P.

Avec les silos d’authentification, vous ne pouvez configurer la durée du ticket TGT que pour les comptes ADM-T0 membres du groupe Administrateurs de domaine. Vous ne pouvez pas spécifier qu’ils ne peuvent se connecter que sur des contrôleurs de domaine.

Il n’est pas possible de restreindre les ordinateurs sources qui peuvent se connecter au contrôleur de domaine pour l’administration via les silos.

Si vous souhaitez restreindre les ordinateurs sources qui peuvent se connecter au contrôleur de domaine à des fins d’administration, vous pouvez utiliser des règles de pare-feu pour spécifier la machine source et l’ordinateur utilisateur.

Les silos d’authentification peuvent vous aider à répondre aux exigences de sécurité et à augmenter votre score d’audit AD, mais ils ne fournissent pas la fonctionnalité permettant de restreindre les ordinateurs sources pour l’administration du contrôleur de domaine.

Cordialement

Qiuyang