1. 域权限委派实战A-G-DL-P策略详解在企业域环境中权限委派是安全管理的核心环节。A-G-DL-PAccount-Global Group-Domain Local Group-Permission策略是微软推荐的权限分配模型它像搭积木一样将用户权限逐层组合。我曾在某跨国企业实施该策略时仅用3天就完成了2000用户的权限梳理。**全局组Global Group**相当于公司的部门编制。比如创建财务部_GG组时要遵循同域同职能原则只添加本域财务人员账号。实际操作命令如下# 创建全局组 New-ADGroup -Name 财务部_GG -GroupScope Global -Path OU部门组,DCcontoso,DCcom**域本地组Domain Local Group**则是资源保险箱。在为文件服务器设置财务文件_DL组时需要明确资源位置。下面是添加访问权限的示例# 创建域本地组并分配NTFS权限 New-ADGroup -Name 财务文件_DL -GroupScope DomainLocal -Path OU资源组,DCcontoso,DCcom $acl Get-Acl \\FS01\财务共享 $acl.AddAccessRule((New-Object System.Security.AccessControl.FileSystemAccessRule(contoso\财务文件_DL,FullControl,Allow))) Set-Acl \\FS01\财务共享 $acl**通用组Universal Group**适合跨国企业场景。在为亚太多国财务_UG组添加成员时要注意组成员变更会触发全局编录同步。建议每月定期审查这类组的成员关系。提示实施AGDLP时建议先在测试OU中验证权限继承效果。我曾遇到过一个案例由于父OU的拒绝删除权限导致子OU权限异常通过dsacls命令排查后发现是权限继承冲突。2. 域组架构设计黄金法则2.1 组作用域选择指南在混合云环境中全局组和域本地组的搭配就像城市交通系统。全局组是公交线路负责人员运输域本地组是车站闸机控制资源访问。最近在为某客户设计跨域方案时我们采用以下结构组类型成员来源权限范围典型应用场景全局组本域用户/全局组全林组织架构划分域本地组全林任何组本域文件服务器权限分配通用组全林任何组全林跨地域项目团队2.2 关键内置组权限剖析Domain Admins组是域中的超级管理员但直接使用它就像用root账户操作Linux一样危险。我建议采用三明治保护层创建个人管理账号加入Domain Admins日常使用普通域账号通过JITJust-In-Time机制临时提升权限Server Operators组的权限经常被低估。在一次渗透测试中我发现该组成员可以通过sc.exe创建系统服务使用diskpart挂载系统分区通过reg.exe修改注册表安全设置3. 组策略GPO高效管理技巧3.1 组织单位OU设计模式OU是域管理的逻辑容器好的设计应该像图书馆分类系统。某制造业客户的原OU结构按部门划分导致策略应用混乱。我们重构为以下模型公司.COM ├── 地点_OU │ ├── 工作站_OU │ └── 服务器_OU └── 业务_OU ├── 部门_OU └── 项目_OU关键命令示例# 创建带GPO链接的OU New-ADOrganizationalUnit -Name 北京_OU -Path DCcontoso,DCcom New-GPO -Name 北京工作站策略 | New-GPLink -Target OU工作站_OU,OU北京_OU,DCcontoso,DCcom3.2 组策略应用排错指南当策略不生效时我通常按照以下流程排查运行gpresult /h report.html查看应用结果使用repadmin /syncall强制同步域控制器检查事件查看器中ID 5016、5722等关键事件最近遇到的一个典型问题客户端时间偏差超过5分钟导致Kerberos认证失败。通过以下命令批量校正w32tm /config /syncfromflags:domhier /update net stop w32time net start w32time4. Kerberos安全加固实战4.1 协议认证流程深度解析Kerberos认证就像机场登机流程AS_REQ值机柜台验证护照用户凭证AS_REP获取登机牌TGTTGS_REQ安检处出示登机牌TGS_REP获得登机口许可STAP_REQ最终登机访问服务关键时间参数控制命令# 调整票据生命周期 Set-ADDefaultDomainPasswordPolicy -Identity contoso.com -MaxTicketAge 10 -MaxRenewAge 74.2 常见攻击防御方案黄金票据攻击防御要点定期轮换krbtgt账户密码每180天监控异常4769事件TGT请求实施命令# 查询krbtgt最后一次密码修改时间 Get-ADUser krbtgt -Properties PasswordLastSet白银票据攻击防护策略为关键服务配置SPN保护启用PAC验证默认开启检测命令示例# 检查服务账户SPN注册情况 Get-ADUser -Filter {ServicePrincipalName -like *} -Properties ServicePrincipalName5. 跨域信任与云同步方案5.1 跨域信任配置要点建立林信任时DNS条件解析是关键。最近配置Amazon EMR与本地AD集成时需要特别注意在DNS中创建条件转发器确保TCP/88和UDP/88双向通畅验证命令Test-NetConnection -ComputerName adfs.contoso.com -Port 885.2 云同步组管理Azure AD Connect同步组时要注意对象SID转换问题。最佳实践是保持objectGUID与onPremisesObjectIdentifier映射限制同步组规模单组不超过5万成员关键PowerShell命令# 检查同步状态 Get-ADSyncConnectorRunStatus在域控日常运维中我发现80%的安全问题源于基础配置疏漏。定期运行dcdiag /v进行健康检查配合repadmin /showrepl验证复制状态能预防大多数故障。对于Kerberos加固微软最新建议是启用AES256加密并禁用RC4-HMAC这可以通过组策略网络安全配置Kerberos允许的加密类型来实现。