我一直在阅读关于减轻PtH的MSbuild议,他们的首要和主要build议是为工作站pipe理员,服务器pipe理员和域控制器pipe理员分别设立帐户。
我是一个真正的IT人员和我的老板谁是技术上的IT团队,但不知道任何关于IT和其他人可以重置AD用户密码。 现在,我的老板和我是域pipe理员,并使用这些凭据login日常使用。 执行密码重置的人是具有本地pipe理员权限的标准用户(因此她可以打开RSAT),该用户具有用于密码重置的委派权限。
所以,让我直接得到这个,理想的情况下… 1)我的老板和我应该有4个独立的帐户?! 1个标准,1个工作站pipe理员,1个服务器pipe理员和1个域pipe理员帐户。 2)密码pipe理员应该有2个账户,1个密码pipe理员和1个标准用户? 3)我们应该限制login到具有angular色的机器,所以服务器pipe理员帐户只能login到文件服务器/应用程序服务器,域pipe理员帐户只能login到域控制器上?
因此,除了我应该记住4个独立的AD帐户密码这个事实外,我还需要多less个工作站才能完成工作? 如果我应该用我的标准用户帐户login到我的主工作站来执行诸如阅读电子邮件,我应该如何添加新用户或更改组策略? 我的DC是服务器核心安装,我在本地工作站上通过RSAT进行pipe理,但是现在我应该将RDP升级到跳转服务器,然后通过该服务器pipe理用户? 密码pipe理员呢,她应该这样做一个完全不同的工作站重置密码? 如何更改文件夹权限,我可以RDP到文件服务器的服务器帐户权限而不暴露服务器pipe理员凭据?
我可以告诉你,如果这需要所有的PSpipe理,我其实不会介意太多,但我的老板永远不会搞清楚。 我很想听到这个问题的雄辩的解决scheme,或者有人告诉我,我正在思考的东西。 请帮帮我…
您login或RDP时通常会遗留密码哈希。 因此,如果您在工作站上使用pipe理员帐户,那么您的密码哈希值就在那里。 同样,当你的服务器的RDP(除了较新的操作系统),你的散列留在那里。 这个问题在Windows 10 OS代码库(Server 2016)中得到缓解。 您应该有一个pipe理服务器,而不是login与域提升权限到您的工作站。 您不希望使用电子邮件或使用提升的权限浏览网页,或从您经常使用提升的权限进行提升或login的工作站进行浏览。
你可以将RDP发送到pipe理服务器,并从那里pipe理。 如果您使用PowerShell连接到远程系统,则不会以散列forms离开。 如果您使用的是智能卡,则可以翻转smartcardrequired位两次以使您当前的密码哈希无效。
您也可以考虑使用LAPS在Windows工作站上放置一个随机的系统维护密码。 LAPS免费从微软。 这样可以避免单个工作站的安全问题,导致所有工作站都无法工作,而且如果连接了本机的本地pipe理员密码,任何折衷scheme都将受到限制。 使用本地pipe理员密码的缺点是审核,您可能必须通过GPO启用该密码。