我试图加强我的域安全性,并且这个过程的一部分(如somr RTFM之后)是:
然而,我在这些账户的组织方面遇到了麻烦:
为服务ADM账户 – 这是非常清楚的(只能访问他们需要做的,并删除GUI访问)
但是对于个人pipe理者来说:他们(我和他人)所需要的凭据是什么?
由于我将创build字面上相同的工作,只有作为adm.myuser.name用密码login,我应该将我自己添加到pipe理员组?
有这样的个人域名pipe理员的最佳做法是什么?
一旦我开始这条路,就会有更多的用户需要控制和监视 – 我该怎么做? – 如何监视我的srv.adm.sql用户?
关于个人pipe理员帐户,这里有两条道路:
显然,第一个是更安全的select,但事实表明,许多pipe理员将使用这个,而不是另一个。 这就是为什么第二个select在那里。 单独的pipe理员账户可以提高您的环境的可审计性,这是一个正确的事情。
生活在一个普通的,高尚的两个账户里,是相当可行的,但需要一些工作才能真正成功地生活。 Windows的问题在于,它有时只能像“高级帐户”那样“运行”某些pipe理工具。 一种select是让terminal服务器pipe理员必须login才能使用他们的帐号。 另一种select是pipe理员只有虚拟机器。
至于监控他们的使用情况,这将需要一些forms的安全监控环境,你可能会或可能没有。 有很多方法可以做到,这超出了这个问题的范围。 如果您使用“单独的pipe理员帐户”,login限制到某些pipe理工作站的路由,则可以直接监视这些安全日志,这可能比环境解决scheme更容易。