Active-Directory
限制我的域管理員帳戶
我正在嘗試加強我的域安全性,這個過程的一部分(在 somr RTFM 之後)是:
- 服務管理員帳戶 - 用於服務(防病毒、spiceworks、任務計劃程序、NAS 備份、SQL 管理員等)
- 管理員的個人管理員帳戶(CIO、CTO、RD Mgr…)
- 嘗試將域管理員的使用限制為 NULL
但是,我無法在腦海中組織這些帳戶的方式:
- 對於服務 ADM 帳戶 - 非常清楚(只能訪問他們需要做的事情,並刪除 gui 訪問)
- 但對於個人管理員:他們(我和其他人)需要什麼證書?
由於我將創建幾乎相同的工作,只需使用密碼登錄 adm.myuser.name,我應該將自己添加到管理員組嗎?
- 這樣做確實有助於控制使用者、限制共享帳戶等,但應該這樣做嗎?
- 擁有這樣的個人域管理員的最佳做法是什麼?
- 一旦我開始走這條路,就會有更多的使用者需要我控制和監控——我該怎麼做?- 如何監控我的 srv.adm.sql 使用者?
關於個人管理員賬戶,這裡有兩條路可以走:
- 每個人都有一個個人管理員帳戶,以及一個普通使用者帳戶。
- 每個人都有一個用於日常事務的個人管理員帳戶。
顯然第一個是更安全的選項,但現實表明許多管理員只會使用它,而不會打擾另一個。這就是為什麼存在第二個選項的原因。單獨的管理員帳戶可提高環境的可審計性,這是正確且真實的做法。
使用兩個帳戶,一個普通帳戶和一個高級帳戶,是相當可行的,但需要一些工作才能真正成功地生活。Windows 的問題在於,它有時只能將某些管理工具作為提升帳戶“執行”。一種選擇是在某個地方安裝一個終端伺服器,管理員必須登錄才能使用他們提升的帳戶。另一種選擇是僅限管理員的虛擬機。
至於監控它們的使用,它需要某種形式的安全監控環境,你可能有也可能沒有。有很多方法可以做到這一點,這超出了這個問題的範圍。如果您使用“單獨的管理員帳戶,登錄限製到某些管理員工作站”的路線,您可以直接監控這些安全日誌,這可能比環境範圍的解決方案更容易。