为域pipe理员单独login域是否是最佳做法?

我通常喜欢为自己设置单独的login,一个用户具有常规用户权限,另一个用于pipe理任务。 例如,如果域名是XXXX,我会设置一个XXXX \ bpeikes和一个XXXX \ adminbp帐户。 我一直这样做是因为坦率地说,我不相信自己是以pipe理员身份login的,但是在我工作的每一个地方,系统pipe理员似乎只是把他们平常的账户添加到域pipe理员组中。

有没有最佳做法? 我见过一篇来自MS的文章,似乎表示你应该使用运行方式,而不是作为pipe理员login,但他们没有给出一个实现的例子,我从来没有见过其他人这样做。

“最佳实践”典型地规定了LPU(最less特权的用户)…但是你是正确的(就像ETL和Joe如此+1),人们很less遵循这个模型。

大多数build议是按照你说的去做的…创build2个账户,不要与他人共享这些账户。 一个账户不应该在你理论上使用的本地工作站上拥有pipe理员权限,但是再一次遵循这个规则,尤其是在现在的UAC(理论上应该启用)的情况下。

为什么你要走这条路线有多种因素。 你必须考虑安全性,便利性,公司政策,监pipe限制(如果有的话),风险等。

保持Domain AdminsAdministrators域级别组的好和干净,最小的帐户总是一个好主意。 但是,如果您可以避免共享域pipe理员帐户,请不要共享它们。 否则就会有人在做某件事情,然后在系统pipe理员之间指责“这不是我用的那个帐户”。 最好有个人账户或使用像Cyber​​Ark EPA这样的东西来正确地进行审计。

同样在这些行上,您的Schema Admins组应始终为EMPTY,除非您对该模式进行了更改,然后将该帐户放入,进行更改并删除该帐户。 Enterprise Admins也可以这样说,尤其是在单一领域模型中。

您也不应该允许特权帐户到VPNnetworking。 使用正常的帐户,然后按要求升级一次。

最后,您应该使用SCOM或Netwrix或其他方法来审计任何特权组,并在这些组的任何成员发生更改时通知IT中相应的组。 这会让你抬头说“等一下,为什么突然间是域pipe理员?” 等等

在这一天结束的时候,有一个原因叫做“最佳实践”,而不是“唯一实践”…… IT团队根据自己的需要和哲学做出了可以接受的select。 有些人(比如乔说的)简直是懒惰……而另外一些人根本就不在乎,因为当已经有数以百计的日常火力打仗的时候,他们不愿意堵住一个安全漏洞。 但是,现在你已经阅读了所有这些,认为自己是一个将打好战斗的人之一,并尽你所能保持安全。 🙂

参考文献:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

AFAIK认为,域/networkingpipe理员最好有一个标准的用户帐户login到他们的工作站执行例行的“用户”任务(电子邮件,文档等),并拥有一个具有适当名称的pipe理帐户允许他们执行pipe理任务。

这是我试图遵循的模式,但是如果现有的IT人员不习惯这样做,这很难实现。

就个人而言,如果我发现一个IT人员不愿意朝这个方向发展,我认为他们是懒惰的,没有经验的,或者他们不了解系统pipe理的实践。

出于安全原因,这是最佳做法。 正如其他人所说的那样,它会阻止你意外地做某事,或者你从浏览networking中受到伤害。 它也限制了您的个人浏览可以做的损害 – 理想情况下,您的日常工作甚至不应该有本地pipe理员权限,更不用说域pipe理员。

反击通过哈希或Windows身份validation令牌劫持也是非常有用的。 ( 例子 )一个适当的渗透testing将很容易certificate这一点。 也就是说,一旦攻击者获得对本地pipe理员帐户的访问权,他们将使用该权力迁移到具有域pipe理员令牌的进程中。 然后他们有效地拥有这些权力。

至于使用这个的人的例子,我的公司呢! (200人,6人操作团队)事实上,我们的域pipe理员拥有-THREE-账户。 一个用于日常使用,一个用于PCpipe理/本地安装软件。 第三个是域pipe理帐户,仅用于pipe理服务器和域。 如果我们想要更加偏执/安全,第四个可能会是有序的。

在我以前的公司里,我坚持所有的系统pipe理员都有两个账户,即:

  • DOMAIN \ st19085
  • DOMAIN \ st19085a(“a”代表pipe理员)

同事们起初不情愿,但是经过一个关于病毒威胁“我们得到了一个杀毒软件”的典型问题之后,一个过时的病毒数据库被揭穿了。

  • 正如你所提到的,可以使用RUNAS命令(我曾经有一个批处理脚本,提供一个自定义菜单,用RUNAS命令启动特定的任务)。

  • 另一件事是使用Microsoftpipe理控制台 ,您可以保存所需的工具,并通过右键单击运行方式…和您的域pipe理员帐户启动它们。

  • 最后但并非最不重要的,我曾经启动一个PowerShell shell作为域pipe理员,并从那里启动我需要的东西。

我曾在两个地方工作,一般都喜欢有一个单独的帐户。 这实际上比这更容易,与joeqwerty的不情愿的用户/顾客似乎认为:

优点使用您的正常,每天账户的域pipe理员活动:是的,所有的pipe理工具在我的工作站上运行没有马兜! W00t!

使用您的正常,每天帐户的域pipe理员活动的缺点:恐惧。 ;)桌面技术问你看看一台机器,因为他无法弄清楚它有什么问题,你login,它有一个病毒。 拔下网线,更换密码(别的地方)。 当pipe理人员问你为什么不通过手机提供商在个人黑莓上发送你的工作邮件时,你可以解释他们在你的服务器上存储了你的域名pipe理员密码。 等。您的高度特权的密码是用于像… webmail,vpn,login这个网页。 (Ew。)(为了公平起见,我的帐户被“更改密码”网页封锁了,所以至less有这样的情况,如果我想更改旧的LDAP密码,网页同步,我必须去到同事的桌子。)

对于域pipe理员活动使用不同的帐户的优点:意图。 该帐户是专门用于pipe理工具等,而不是用于电子邮件,networking邮件,VPN,网页login等。所以,less担心我的正常“用户”活动是暴露整个领域的风险。

为域pipe理员活动使用不同的帐户:我必须使用pipe理工具的runas。 那不是那么痛苦

TL; DR版本:拥有一个单独的帐户就简单得多了。 这也是最好的做法,因为它是最不必要的特权 。

最低限度的利润应该是足够的理由,但如果不是这样,也可以考虑如果你使用与你的用户相同的权限的帐户,你更有可能遭受任何问题 – 你可以自己debugging也经常在他们看到他们之前!

没有什么比pipe理员说,“它适用于我”,并closures票:)

在所有理论中,最好不要使用顶级pipe理员login来进行日常活动。 有很多原因,如病毒 – 如果你得到一个病毒,你正在运行域pipe理员login,那么病毒有一个简单的方法来获得您的networking,完全访问! 可能的错误很容易确定,但我不认为这是最大的挑战。 如果你走进校园,login你的顶级pipe理员,有人可能会看着你的密码。 所有这样的事情。

但这是否实用? 我觉得很难遵循这个规则,但我想遵循它。