Active-Directory

為域管理員單獨登錄域是最佳實踐嗎?

  • August 6, 2018

我通常喜歡為自己設置單獨的登錄,一個具有正常使用者權限,另一個用於管理任務。例如,如果域是 XXXX,我會設置一個 XXXX\bpeikes 和一個 XXXX\adminbp 帳戶。我一直這樣做是因為坦率地說我不相信自己以管理員身份登錄,但是在我工作過的每個地方,系統管理員似乎只是將他們常用的帳戶添加到域管理員組中。

有沒有最佳實踐?我看過 MS 的一篇文章,似乎確實說您應該使用 Run As,而不是以管理員身份登錄,但他們沒有給出實現範例,而且我從未見過其他人這樣做。

“最佳實踐”通正常定 LPU(最低特權使用者)……但您是正確的(ETL 和 Joe 也是如此 +1),人們很少遵循這種模型。

大多數建議是按照你說的做……創建 2 個帳戶,而不是與其他人共享這些帳戶。一個帳戶在理論上不應該在您正在使用的本地工作站上擁有管理員權限,但同樣遵循該規則的人,尤其是如今的 UAC(理論上應該啟用)。

但是,您為什麼要走這條路有多種因素。您必須考慮安全性、便利性、公司政策、監管限制(如果有)、風險等。

Domain Admins使用最少的帳戶保持Administrators域級別組的整潔總是一個好主意。但是,如果可以避免的話,不要簡單地共享公共域管理員帳戶。否則會有某人做某事然後在系統管理員之間指責“不是我使用該帳戶”的風險。最好擁有個人帳戶或使用 Cyber​​Ark EPA 之類的工具對其進行正確審核。

同樣在這些行中,您的Schema Admins組應始終為 EMPTY,除非您要更改架構,然後將帳戶放入,進行更改並刪除帳戶。Enterprise Admins尤其是在單域模型中也可以這樣說。

您也不應該允許特權帳戶通過 VPN 進入網路。使用普通帳戶,然後根據需要在內部進行升級。

最後,您應該使用 SCOM 或 Netwrix 或其他方法來審核任何特權組,並在這些組的任何成員發生變化時通知 IT 中的相應組。這會讓你抬頭說“等一下,為什麼某某突然變成了域管理員?” 等等

歸根結底,將其稱為“最佳實踐”而不是“唯一實踐”是有原因的……IT 團隊根據自己的需求和理念做出了可接受的選擇。有些人(就像喬說的那樣)只是懶惰……而另一些人根本不在乎,因為當已經有數百起火災要撲滅時,他們對堵住一個安全漏洞不感興趣。但是,既然您已經閱讀了所有這些內容,請考慮自己是能夠打好仗並儘您所能確保事情安全的人之一。:)

參考:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

引用自:https://serverfault.com/questions/575050