Escopo de autoridade do administrador do serviço
Se você optar por participar de uma floresta do Active Directory, precisará confiar no proprietário e nos administradores de serviços da floresta. Os proprietários da floresta são responsáveis por selecionar e gerenciar os administradores de serviços. Portanto, quando você confia em um proprietário da floresta, também confia nos administradores de serviços que o proprietário da floresta gerencia. Esses administradores de serviços têm acesso a todos os recursos da floresta. Antes de tomar a decisão de participar de uma floresta, é importante entender que o proprietário da floresta e os administradores de serviços terão acesso completo aos seus dados. Não é possível impedir esse acesso.
Todos os administradores de serviços de uma floresta têm controle completo sobre todos os dados e serviços em todos os computadores da floresta. Os administradores de serviços têm a capacidade de fazer o seguinte:
Corrigir erros em ACLs (listas de controle de acesso) de objetos. Isso permite que o administrador de serviços leia, modifique ou exclua objetos, independentemente das ACLs definidas nesses objetos.
Modificar o software do sistema em um controlador de domínio para ignorar as verificações de segurança normais. Isso permite que o administrador de serviços visualize ou processe qualquer objeto no domínio, independentemente da ACL no objeto.
Usar a política de segurança Grupos Restritos para permitir a qualquer usuário ou grupo acesso administrativo em qualquer computador ingressado no domínio. Dessa forma, os administradores de serviços podem obter o controle de qualquer computador ingressado no domínio, independentemente das intenções do proprietário do computador.
Redefinir senhas ou alterar associações a um grupo dos usuários.
Obter acesso a outros domínios da floresta modificando o software do sistema em um controlador de domínio. Os administradores de serviços podem afetar a operação de qualquer domínio da floresta, visualizar ou processar dados de configuração da floresta, visualizar ou processar dados armazenados em qualquer domínio e visualizar ou processar dados armazenados em qualquer computador ingressado na floresta.
Por esse motivo, os grupos que armazenam dados em UOs (unidades organizacionais) na floresta e que ingressam computadores em uma floresta precisam confiar nos administradores de serviços. Para que um grupo ingresse em uma floresta, ele precisa optar por confiar em todos os administradores de serviços na floresta. Isso envolve garantir que:
O proprietário da floresta possa ser confiável para agir no interesse do grupo e não tenha motivos para agir de maneira mal-intencionada contra o grupo.
O proprietário da floresta restrinja adequadamente o acesso físico aos controladores de domínio. Os controladores de domínio de uma floresta não podem ser isolados uns dos outros. É possível que um invasor que tenha acesso físico a um só controlador de domínio faça alterações offline no banco de dados de diretório e, ao fazer isso, interfira na operação de qualquer domínio da floresta, visualize ou manipule dados armazenados em qualquer lugar da floresta e visualize ou manipule dados armazenados em qualquer computador ingressado na floresta. Por esse motivo, o acesso físico aos controladores de domínio precisa ser restrito a uma equipe confiável.
Você entende e aceita o risco potencial de que os administradores de serviços confiáveis possam ser coagidos a comprometer a segurança do sistema.
Alguns grupos podem determinar que os benefícios colaborativos e de economia nos custos da participação de uma infraestrutura compartilhada superam os riscos de que os administradores de serviços usarão indevidamente ou serão coagidos a usar incorretamente a autoridade deles. Esses grupos podem compartilhar uma floresta e usar UOs para delegar a autoridade. No entanto, talvez outros grupos não aceitem esse risco, porque as consequências de um comprometimento na segurança são muito graves. Esses grupos exigem florestas separadas.