bsh*_*ett 1 security windows active-directory uac
在工作中,我们最近收到了为域管理员设置两个单独帐户的建议。一个帐户是没有管理员权限的标准用户帐户,一个是域管理员的成员。虽然我能理解为什么要提出这个建议,但这似乎也是一种皇室的痛苦。
我知道 UAC 以一种最透明的方式管理这种类型的权限提升。UAC 或其他解决方案是否能够提供这种级别的保护?
是与否,这取决于您对所涉及的风险是否满意。UAC 绝对提供了一层保护,类似于sudolinux 世界。但是,如果您只是习惯于在所有 UAC 提示上盲目单击“是”,那么保护就会有所减少。如果您的帐户没有直接获得执行这些操作的授权,那么意外取消 UAC 提示就不会造成危险。
当然,在域管理员帐户下登录仍然存在危险,但这更多是有意的操作,您可以通过拥有双帐户来更多地分离授权。它还为您的组织提供了一种在有人更改工作职能时删除授权的更简单方法。
| 归档时间: |
|
| 查看次数: |
1513 次 |
| 最近记录: |