Должен ли я иметь несколько учетных записей администратора домена?


9

Я работаю в небольшой организации с 2 серверами и 30 клиентами. Мы полностью Windows Server 2003 / XP. Кроме меня, операционному директору и нашей ИТ-консалтинговой компании необходим доступ к учетной записи администратора домена.

Должны ли мы иметь несколько учетных записей администраторов домена по какой-либо причине (регистрация изменений, безопасность или иное)? Есть ли причины не иметь несколько учетных записей администратора домена?

Ответы:


24

Каждый пользователь, выполняющий административные действия, должен иметь отдельную учетную запись для выполнения этих действий. В среде Windows встроенная учетная запись администратора (RID 500) должна иметь сложный пароль, установленный, распечатанный и заблокированный в сейфе и т. Д. На случай чрезвычайных ситуаций.

Общий принцип безопасности выглядит следующим образом: вы хотите знать, кто выполняет какие (административные, в данном случае) действия (т. Е. Имеет контрольный журнал. Совместное использование учетных записей выбрасывает это из воды).

Кроме того, вы хотите иметь возможность отключить доступ отдельного лица в случае нарушения безопасности пароля, прекращения и т. Д. Общие учетные записи также не соответствуют этим критериям.

Общие общие учетные записи любого типа следует рассматривать как весьма сомнительные по стоимости, но общие учетные данные администратора всегда неверны.

re: Специфичные для Windows соображения, такие как ограниченные подключения к удаленному рабочему столу / службам терминалов: будьте любезны со своими коллегами-администраторами и не оставляйте дисконтированные сеансы без проблем Я обнаружил, что социальное давление довольно хорошо работает в небольших организациях (то есть часто и громко упоминает тот факт, что администратор XXX не помнит о выходе из серверов). Вы всегда можете загрузить отключенные сеансы других пользователей, если это действительно необходимо. Это добавляет, может быть, 30 секунд к попытке подключения. В более крупной организации, или если это становится серьезной проблемой, вы можете рассмотреть возможность использования отключенных тайм-аутов сеансов.

Немного в стороне, но, вероятно, по теме, так как вы упомянули ИТ-консультанта: сам я, как ИТ-подрядчик, всегда запрашиваю выделенную учетную запись администратора и не требую никаких «общих» учетных данных администратора. Он защищает обе стороны и обеспечивает аудиторский след. Я всегда хочу, чтобы мои клиенты чувствовали, что они могут «заблокировать меня» в любой момент (и на самом деле также обладают этой способностью), потому что я считаю, что это посылает мощное сообщение о том, что я уверен в своей способности поддерживать отношения с они основаны на достоинствах моих навыков и ценности, которую я придаю, а не на каком-то смутном ощущении, что они «заперты» для меня.


1

Одна из причин не иметь несколько учетных записей:
если вы управляете всем с помощью удаленного рабочего стола, у вас может быть ограничение на эти учетные записи . Если люди просто закроют сеанс удаленного рабочего стола без выхода из системы, они будут быстро связаны.

Причина наличия нескольких учетных записей:
вы можете видеть, кто вошел в систему, если что-то плохое случится. Правда, если у вас хорошая командная среда, тот, кто что-то сделал, просто признается в этом.


0

Эван отвечает хорошо. Также помните, что вы не должны использовать свою учетную запись администратора для повседневной работы - всегда запускайте команды администратора с runas или аналогичными, если вы запускаете что-то прямо на своей рабочей станции.

Для учетных записей служб вы также можете отключить интерактивный вход в систему, чтобы сделать их более безопасными.

И последнее: убедитесь, что вы включили аудит безопасности на своих серверах и убедитесь, что журнал событий безопасности достаточно большой (я обычно устанавливаю его на 20 МБ или больше)

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.