选择是将 HGS 安装在其自己的专用林中还是安装在现有 Bastion 林中
HGS 的 Active Directory 林很敏感,因为其管理员有权访问控制受防护的 VM 的密钥。 默认安装将设置专用于 HGS 的新林并配置其他依赖项。 建议使用此选项,因为该环境是自包含的,并且已知在创建时是安全的。
在现有林中安装 HGS 的唯一技术要求是将其添加到根域;不支持非根域。 但是,使用现有林也有操作要求和安全相关的最佳做法。 请专门构建合适的林来为敏感功能提供服务,例如 AD DS 的 Privileged Access Management 使用的林或增强的安全管理环境 (ESAE) 林。 此类林通常具有以下特征:
- 它们有几个管理员(与结构管理员分开)
- 它们的登录次数较少
- 它们本质上不用于常规用途
常规用途林(例如生产林)不适合由 HGS 使用。 结构林也不适用,因为 HGS 需要与构造管理员隔离。
后续步骤
请选择最适合你的环境的安装选项: