服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 从域pipe理员只有帐户转移
Intereting Posts
不能发送电子邮件到其他Web服务器 AWS PutBucketLogging:请求包含不受支持的参数 debian lenny-backports可以安全地在lenny上使用吗? 如何限制用户在Postfix中使用不同伪造的发件人电子邮件? Zimbra 8.7.1:连接:无法从ldap确定启用的服务 ZFS:从快照中删除文件? DHCP服务器不分配IP – Linux(CentOS) 检查网站是否closures 数据库镜像问题 尽可能多地了解网站背后的设置 新贵:不能以root身份运行 Mutt发送附有个人和公司电子邮件地址的电子邮件 多个服务器,12小时内发生多个驱动器故障? 无法获得Java应用程序使用systemd作为服务运行/启动 如何在GRUB2上使用memtest86 +的“badram”输出?

从域pipe理员只有帐户转移

在我们的Windows环境中,我们的域pipe理员只有一个用户帐户。 这个单一的用户帐户被用于全天候的工作站上,包括运行。 在我们从这种做法转变的过程中,我们正在寻找关于如何设置Domain Admins的最佳实践

明显的第一步是默认为低权限帐户并根据需要升级应用程序。 由于这是我们第一次采用这种设置,我们不知道我们应该寻找什么样的东西,以及我们应该做些什么样的改变。 而在更广泛的范围内,这对我们是否是SharePointpipe理员有什么影响? Office 365pipe理员? 等等..

那里有什么资源,或者你能提供什么?

@TheCleaner,我会采取相反的方针。

这些域pipe理员帐户的密码散列可能在你的networking周围,只是等待传递哈希scheme。 因此,我build议您立即从Domain Admins中删除这些帐户,并将其作为有限的用户使用。 (你还应该改变密码。)

这种方法还具有明显的优点,不需要任何configuration文件“巫术”,并希望不会改变像主目录这样的资源的任何权限,本来应该有用户命名的。 这也保留了Excahnge邮箱。

创build新的域pipe理员成员帐户login限制仅限于域控制器计算机。 除了login到域控制器计算机以外,这些帐户绝对不能用于其他用途,以限制其密码散列的暴露。

这将是一个艰难的过渡,而且您将遇到仅在客户端计算机上工作的情况,这是因为您的用户帐户隐式成为本地“pipe理员”组的成员。 你也许可以通过使用另一个组嵌套(比如说“前域pipe理员”)来让这个药丸更容易吞咽,以赋予这些账户本地pipe理员权限。 最终你也会想离开这个。

这是我的快速build议…因为您可以轻松地“倒退”在这一点,以得到你想要的。

  1. 将AD中的现有帐户重命名为“Mark-Admin”。 更改他们的显示名称和用户login名(用户名)。 SID将保持不变,所以就好像有人从他们的less女到已婚的名字一样。 所有的权限,等等,都保持不变。
  2. 创build每个新的低特权帐户,现在称为“马克”(无论他们以前的正常用户名是他们习惯于使用)。 将这些帐户权限授予其主目录文件夹和/或其他任何正常帐户需要访问的权限。 您还需要将Exchange /电子邮件系统信息(电子邮件地址等)从旧帐户转移到此帐户。 请记住,如果您不使用SSO,他们的电子邮件地址可能会用作O365或其他门户网站的login信息。
  3. 删除“Mark-Admin”不再需要访问的任何权限(如果有的话)。
  4. 在他们的工作站上使用诸如ForensITconfiguration文件向导之类的工具将他们的configuration文件从旧的SID(现在是Mark-Admin用户名)迁移到他们的新的SID(标记)……将它们送回他们的桌面/configuration文件等等。 就好像他们总是在那个账户上使用它一样。
  5. 对于没有提供SSO(可能是您的O365,Sharepoint等)的login/authentication门户,则需要以某种方式进行更新。 例如,如果您没有与AD同步,那么您需要直接更新它,或者创build一个新帐户或修改现有帐户的权限。 这将基于您的设置。 例如,如果他们目前正在使用电子邮件地址login,那么该地址显然会转移到他们的低特权帐户(Mark),您需要为Mark-Admin另外设置一个地址。
  6. 利润