那些遇到过的问题

为域管理员单独登录域是最佳做法吗?

Ben*_*kes 34 security active-directory domain-controller best-practices

我通常喜欢为自己设置单独的登录,一个具有常规用户权限,另一个用于管理任务。例如,如果域是 XXXX,我会设置一个 XXXX\bpeikes 和一个 XXXX\adminbp 帐户。我一直这样做是因为坦率地说,我不相信自己以管理员身份登录,但在我工作过的每个地方,系统管理员似乎只是将他们常用的帐户添加到域管理员组中。

有没有最佳实践?我看过 MS 的一篇文章,它似乎说你应该使用运行方式,而不是以管理员身份登录,但他们没有给出一个实现的例子,我从来没有见过其他人这样做。

joe*_*rty 28

AFAIK,域/网络管理员拥有一个标准用户帐户来登录到他们的工作站以执行日常“用户”任务(电子邮件、文档等)并拥有一个具有适当权限的命名管理帐户被认为是最佳实践。组成员身份以允许他们执行管理任务。

这是我尝试遵循的模型,尽管如果现有 IT 人员不习惯这样做,则很难实施。

就我个人而言,如果我发现 IT 员工不愿朝这个方向发展,我认为他们要么懒惰、缺乏经验,要么不了解系统管理实践。

The*_*ner 26

“最佳实践”通常规定 LPU(最低特权用户)……但您是对的(ETL 和 Joe 如此 +1),人们很少遵循这种模型。

大多数建议都是按照您说的做...创建 2 个帐户,不要与其他人共享这些帐户。理论上,即使是您正在使用的本地工作站,一个帐户也不应该具有管理员权限,但是谁又会遵循该规则,尤其是如今的 UAC(理论上应该启用)。

不过,您为什么要走这条路有多种因素。您必须考虑安全性、便利性、公司政策、监管限制(如果有)、风险等。

使用最少的帐户保持Domain AdminsAdministrators域级别组的整洁始终是一个好主意。但是,如果可以避免,不要简单地共享公共域管理员帐户。否则就有可能有人在做某事,然后在系统管理员之间指责“使用该帐户的不是我”。最好拥有个人帐户或使用 Cyber​​Ark EPA 之类的工具对其进行正确审核。

同样在这些行上,Schema Admins除非您对架构进行更改,然后将帐户放入,进行更改并删除帐户,否则您的组应始终为 EMPTY。同样可以说,对于Enterprise Admins特别是在单域模型。

您也不应该允许特权帐户通过 VPN 进入网络。使用普通帐户,然后在内部根据需要提升。

最后,您应该使用 SCOM 或 Netwrix 或其他一些方法来审核任何特权组,并在这些组的任何成员发生更改时通知 IT 中的相应组。这会让您提前提醒您“等一下,为什么某某突然成为域管理员?” 等等。

归根结底,它被称为“最佳实践”而不是“唯一实践”是有原因的……IT 团队可以根据自己的需求和理念做出可接受的选择。有些人(就像乔说的)只是懒惰……而其他人根本不在乎,因为当已经有数百个和每天要扑灭的火灾时,他们对堵塞一个安全漏洞不感兴趣。但是,既然您已经阅读了所有这些内容,请考虑自己是能够打好仗的人之一,并尽您所能确保事情的安全。:)

参考:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

Chr*_*rel 12

这是出于安全原因的最佳做法。正如其他人所提到的,它可以防止您意外地做某事,或防止您因浏览网络而受到损害。它还限制了您的个人浏览可能造成的损害——理想情况下,您的日常工作甚至不应该拥有本地管理员权限,更不用说域管理员了。

对抗Pass the Hash或 Windows 身份验证令牌劫持也非常有用。(示例)适当的渗透测试将很容易证明这一点。也就是说,一旦攻击者获得对本地管理员帐户的访问权限,他们将使用该权限迁移到具有域管理员令牌的进程中。然后他们实际上拥有这些权力。

至于人们使用这个的例子,我的公司就是这样!(200 多人,6 人操作团队)事实上,我们的域管理员有 - 三个- 帐户。一种用于日常使用,一种用于本地 PC 管理/安装软件。第三个是域管理员帐户,仅用于管理服务器和域。如果我们想变得更加偏执/安全,那么第四个可能是合适的。

小智 8

在我以前的公司,我坚持所有系统管理员都有 2 个帐户,即:

  • 域\st19085
  • DOMAIN\st19085a(“a”代表管理员)

同事们起初并不情愿,但在有关病毒威胁“我们有一个防病毒软件”的典型问题被过时的病毒数据库揭穿之后,这成为了一种经验法则……

  • 正如您提到的,可以使用RUNAS命令(我曾经有一个批处理脚本,显示自定义菜单,使用 RUNAS 命令启动特定任务)。

  • 另一件事是使用Microsoft 管理控制台,您可以保存所需的工具并通过右键单击运行方式...和您的域管理员帐户启动它们。

  • 最后但并非最不重要的一点是,我曾经以域管理员身份启动 PowerShell shell,然后从那里启动我需要的东西。

  • 这基本上是我在所有我有发言权的地方都使用过(并强加给其他人)的实现。您以普通用户的身份登录计算机并执行日常任务,就像其他人一样。当您需要管理员权限时,您可以“以管理员身份运行”/“以管理员身份运行”并使用管理员用户帐户。仅对所有内容使用一个帐户是一种糟糕的安全做法,根据我的经验,反对的人是最需要与以管理员身份运行所有内容隔离开来的人。 (6认同)

归档时间:

查看次数:

31538 次

最近记录:

7 年,8 月 前
相关归档
如何在 FreeBSD 上使用 OTP 设置两因素身份验证? 7
在 Windows 上禁用 SSL V3 是否需要重新启动?- 贵宾犬漏洞利用 7
Active Directory OU 中的唯一名称要求? 6
为什么我无法在 Powershell 中导航 Active Directory? 6
更改 Linux 和 Active Directory 的登录格式 6
访问日志中的可疑活动 - 有人试图找到 phpmyadmin 目录 - 我应该担心吗? 4
我应该为我的网站使用什么统计应用程序? 4
通过将用户添加到 WinRMRemoteWMIUsers 来解决 Powershell Remoting 安全隐患 2
尽管服务器已添加到域中,为什么仍显示任务“将此服务器提升为域控制器”? 2
从 PHP 以 sudo 的形式安全地执行系统命令 1
难疑归档
Windows 上有用的命令行命令 281
如何判断哪个本地分支正在跟踪 Git 中的哪个远程分支? 242
如何找到文件系统的 UUID 142
IPv6 子网划分是如何工作的,它与 IPv4 子网划分有何不同? 124
如何在 Windows 工作站或服务器上强制同步时间? 110
try_files 如何工作? 91
嵌套位置 nginx 86
sudoers:如何禁用每个用户的要求 79
如何在 Linux 中隐藏 shell 应用程序的输出? 55
“登录”和“交互式” bash shell 之间有什么区别 54