Sf
Тут фишка вот в чем:
1) Доступ до сервера AD только из корп сети т.е. со всяких 0.0.0.0 тебя отрежет еще задолго до самого сервака (совсем упороться, так и доступ с конкретного IP. В идеале бастиона, а то и двух)
2) (я честно хз как это было сделано т.к. делал не я и было это в лохматых годах, возможно это был какой-то костыль) но доступ к управлению AD только с самого серерва
3) RDP только по ubikey и персонализированн. Т.е. никакого админ, а четкий Вася Пупкин с такими-то правами.
4) Все права нарезаются строго по потребностям. никаких впрок, а вдруг пригодится, по братски или за пиво. Заявка, апрув от непосредственного начальника с подробным описанием нахуя кому-то права выше простого юзера и вообще нахера доступ в АД. Если есть ИБ, то ещё и от них апрув и в идеале апрув от СТО
Если выполнять эти не сложные правила, то ломать твою AD будет резко долго и сложно и не факт, что кому-то понадобится если ты не Роснефть
1) Доступ до сервера AD только из корп сети т.е. со всяких 0.0.0.0 тебя отрежет еще задолго до самого сервака (совсем упороться, так и доступ с конкретного IP. В идеале бастиона, а то и двух)
2) (я честно хз как это было сделано т.к. делал не я и было это в лохматых годах, возможно это был какой-то костыль) но доступ к управлению AD только с самого серерва
3) RDP только по ubikey и персонализированн. Т.е. никакого админ, а четкий Вася Пупкин с такими-то правами.
4) Все права нарезаются строго по потребностям. никаких впрок, а вдруг пригодится, по братски или за пиво. Заявка, апрув от непосредственного начальника с подробным описанием нахуя кому-то права выше простого юзера и вообще нахера доступ в АД. Если есть ИБ, то ещё и от них апрув и в идеале апрув от СТО
Если выполнять эти не сложные правила, то ломать твою AD будет резко долго и сложно и не факт, что кому-то понадобится если ты не Роснефть
А че на счет запроса гк?