xvi
CONTENTS
Effective Permissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Taking Ownership . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Delegation of Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Designing Delegation of Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Implementing Delegation of Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Auditing of Security Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Auditing Printers and Printing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Moving Objects in Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Moving Objects within the Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Moving Objects between Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Moving Objects between Forests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Coming Up Next . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
The Bottom Line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Chapter 8 • Managing Group Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Group Policy Primer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
What Makes Up a Group Policy Object? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Editing Group Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Using the Group Policy Management Editor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Backing Up and Restoring Group Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Differences between Group Policy Versions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Managing Your Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Planning and Monitoring Group Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Coming Up Next . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
The Bottom Line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Chapter 9 • Managing Active Directory Security . . . . . . . . . . . . . . . . . . . . . . . . 245
AD DS Security Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Security Principals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Access Control Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Access Tokens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Securing the Base Operating System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Physical Security for Domain Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Guarding against Remote-Access Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Protecting Systems during Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Securing Well-Known User Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Defining Domain Controller Communication with IPSec Filters . . . . . . . . . . . . . . . 256
Modifying the Default Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Securing AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Placement of the Active Directory Database File . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Maintaining the Service Account Administrators . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Creating a Baseline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Using Secure Administrative Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Coming Up Next . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
The Bottom Line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
46933book.fm Page xvi Saturday, May 10, 2008 9:30 AM