您如何“防止強大的帳戶被用於未經授權的系統”？

我正在瀏覽 Microsoft 的保護 Active Directory 的最佳實踐，並看到連結的圖表，其中包括文件中包含的一些最佳實踐，按重要性評級。

第 6 位是“防止在未經授權的系統上使用強大的帳戶”。我認為這意味著某些帳戶，即面向任務的管理員（想想 DNS 管理員）無法登錄“未經授權的系統”，例如網路上的客戶端 PC。

當人們想到強大的帳戶時，他們往往會想到可以訪問所有內容的管理員。但是，如果一個組織實施 LUA 任務可以委派給不同的管理員，這樣所有的權力就不會集中在一個組中，這樣就可以限制這些事情。

#6 只有在域實現授權並使用 LUA 時才有可能嗎？如果這不是正確的觀點，那麼這句話是什麼意思？

**注意：**第 5 項是“保護和監控有權訪問敏感數據的使用者的帳戶”——在理想情況下，這意味著最小權限/授權原則，是嗎？

我假設這意味著，例如，不使用您的域管理員憑據登錄以便在您的工作站上完成您的日常工作。如果是這樣，您將擁有一個“普通”使用者帳戶來執行“正常”工作，以及一個專門用於域管理員活動的域管理員帳戶。對於您的 DNS 管理員範例，同樣的事情 - 有一個她/他用於日常工作的單獨帳戶，以及用於 DNS 管理員工作的 DNS 管理員帳戶。

我曾在兩種方式都這樣做的地方工作過，我個人更喜歡單獨帳戶的方法。例如，以前的雇主建議我在個人黑莓上接收工作電子郵件。這需要在我的單元提供商的伺服器上儲存域管理員憑據，所以我拒絕了。我也偶爾有一個桌面技術人員讓我看看一台“表現得很有趣”的機器，它總是讓我毛骨悚然，不得不使用域管理員憑據來做這件事（之後我會立即更改我的密碼）。

引用自：https://serverfault.com/questions/653858