我在一个拥有 2 个服务器和 30 个客户端的小型组织中工作。我们完全是 Windows Server 2003/XP。除了我之外,运营总监和我们的 IT 咨询公司需要访问域管理员帐户。
我们是否应该出于任何原因(更改日志记录、安全性或其他)拥有多个域管理员帐户?是否有理由不拥有多个域管理员帐户?
Eva*_*son 24
每个执行管理活动的用户都应该有一个专用帐户来执行这些活动。在 Windows 环境中,内置 (RID 500) 管理员帐户应该设置复杂的密码,打印出来并锁在保险箱等中以备不时之需。
安全的一般原则是这样的:您想知道谁在执行哪些(在这种情况下是行政)活动(即具有审计跟踪。共享帐户将其排除在外。
此外,您希望能够在违反密码安全、终止等情况下切断个人的访问权限。共享帐户也不符合该标准。
任何类型的共享、通用帐户的价值都应该被认为是高度可疑的,但共享管理凭据总是不好的。
回复:Windows 特定的考虑因素,例如有限的远程桌面/终端服务连接:对您的管理员同事保持礼貌,不要留下断断续续的会话。我发现社会压力在小型组织中运作得相当好(即经常大声提及管理员 XXX 不记得注销服务器的事实)。如果确实需要,您可以随时关闭其他用户的断开连接的会话。它可能会增加 30 秒的连接尝试时间。在较大的组织中,或者如果它成为一个主要问题,您可能会考虑实施断开连接的会话超时。
稍微说一下,但自从您提到一位 IT 顾问以来,这可能是主题:作为 IT 承包商,我总是为自己申请一个专用的管理帐户,并且我不要求知道任何“共享”管理凭据。它保护双方并提供审计跟踪。我总是希望我的客户觉得他们可以在收到通知后立即“将我拒之门外”(并且实际上也拥有这种能力),因为我相信这传达了一个强有力的信息,我相信我有能力保持与我的关系他们基于我的技能优点和我提供的价值,而不是基于某种模糊的感觉,即他们“锁定”了我。
| 归档时间: |
|
| 查看次数: |
3476 次 |
| 最近记录: |