限制我的域管理員帳戶

我正在嘗試加強我的域安全性，這個過程的一部分（在 somr RTFM 之後）是：

• 服務管理員帳戶 - 用於服務（防病毒、spiceworks、任務計劃程序、NAS 備份、SQL 管理員等）
• 管理員的個人管理員帳戶（CIO、CTO、RD Mgr…）
• 嘗試將域管理員的使用限制為 NULL

但是，我無法在腦海中組織這些帳戶的方式：

• 對於服務 ADM 帳戶 - 非常清楚（只能訪問他們需要做的事情，並刪除 gui 訪問）
• 但對於個人管理員：他們（我和其他人）需要什麼證書？

由於我將創建幾乎相同的工作，只需使用密碼登錄 adm.myuser.name，我應該將自己添加到管理員組嗎？

• 這樣做確實有助於控制使用者、限制共享帳戶等，但應該這樣做嗎？
• 擁有這樣的個人域管理員的最佳做法是什麼？
• 一旦我開始走這條路，就會有更多的使用者需要我控制和監控——我該怎麼做？- 如何監控我的 srv.adm.sql 使用者？

關於個人管理員賬戶，這裡有兩條路可以走：

1. 每個人都有一個個人管理員帳戶，以及一個普通使用者帳戶。
2. 每個人都有一個用於日常事務的個人管理員帳戶。

顯然第一個是更安全的選項，但現實表明許多管理員只會使用它，而不會打擾另一個。這就是為什麼存在第二個選項的原因。單獨的管理員帳戶可提高環境的可審計性，這是正確且真實的做法。

使用兩個帳戶，一個普通帳戶和一個高級帳戶，是相當可行的，但需要一些工作才能真正成功地生活。Windows 的問題在於，它有時只能將某些管理工具作為提升帳戶“執行”。一種選擇是在某個地方安裝一個終端伺服器，管理員必須登錄才能使用他們提升的帳戶。另一種選擇是僅限管理員的虛擬機。

至於監控它們的使用，它需要某種形式的安全監控環境，你可能有也可能沒有。有很多方法可以做到這一點，這超出了這個問題的範圍。如果您使用“單獨的管理員帳戶，登錄限製到某些管理員工作站”的路線，您可以直接監控這些安全日誌，這可能比環境範圍的解決方案更容易。

引用自：https://serverfault.com/questions/421348