从仅限域管理员的帐户过渡

Question

在我们的 Windows 环境中，我们的域管理员只有一个用户帐户。这个单一用户帐户可以全面使用，包括在日常工作站上运行。在我们摆脱这种做法的过程中，我们正在寻找有关如何设置域管理员的最佳做法。

显而易见的第一步是默认使用低权限帐户并根据需要升级应用程序。由于这是我们第一次转向这种设置，我们不知道我们应该寻找什么以及我们应该做出哪些改变。在更广泛的范围内，这对我们作为 SharePoint 管理员有何影响？Office 365 管理员？等等..

那里有什么资源，或者你能提供什么？

Answer 1

我将采取相反的策略作为@TheCleaner。

那些域管理员帐户的密码哈希值可能遍布您的网络，只是在等待传递哈希值的情况。因此，我建议您立即从域管理员中删除这些帐户，并开始将它们作为受限用户使用。（您仍然应该更改密码。）

这种方法还有一个明显的优点，即不需要任何配置文件“voodoo”，并且希望不会更改主目录等资源的任何权限，无论如何都应该为用户命名。这也可以原地保留 Excahnge 邮箱。

创建新的域管理员成员帐户，其登录限制仅限于域控制器计算机。除了登录到域控制器计算机以限制其密码散列的暴露之外，这些帐户不应用于任何其他用途。

这将是一个艰难的过渡，您将遇到在客户端计算机上工作的事情，因为您的用户帐户是本地“管理员”组的隐式成员。您可能可以通过使用另一个组嵌套（例如“前域管理员”）为这些帐户授予本地管理员权限，从而使这个药丸更容易接受。最终你也会想要摆脱它。

Answer 2

这是我的快速建议......因为此时您可以轻松地“向后”工作以获得您想要的东西。

1. 将 AD 中的现有帐户重命名为“Mark-Admin”之类的名称。更改其显示名称和用户登录名（用户名）。SID 将保持不变，因此本质上类似于让某人从他们的娘家姓变为已婚名。所有权限等在任何地方都保持不变。
2. 为他们每个人创建新的低权限帐户，现在称为“Mark”（无论他们习惯使用什么旧的普通用户名）。授予这些帐户对其主文件夹的权限和/或此普通帐户需要访问的任何其他权限。您还需要将 Exchange/电子邮件系统信息（电子邮件地址等）从旧帐户转移到此帐户。请记住，如果您不使用 SSO，他们的电子邮件地址可能会用作 O365 或其他门户的登录信息。
3. 删除“Mark-Admin”不再需要访问的任何权限（如果有）。
4. 在他们的工作站上使用ForensIT Profile Wizard 之类的工具将他们的配置文件从旧的 SID（现在是 Mark-Admin 用户名）迁移到他们的新 SID（Mark）...将他们的桌面/配置文件/等还给他们。好像他们一直在那个帐户上使用它。
5. 对于不提供 SSO 的登录/身份验证门户（可能是您的 O365、Sharepoint 等），那么您需要以某种方式更新它们。例如使用 O365，如果您不与 AD 同步，则需要直接更新它，创建新帐户或修改现有帐户的权限。这将基于您的设置。例如，如果他们当前使用电子邮件地址登录，那么该地址显然会转移到他们的低权限帐户 (Mark)，您需要为 Mark-Admin 设置不同的地址。
6. 利润