我已经安装了一些Windows Server 2012虚拟机,并正在尝试使用我的第一个Core安装。 我打算用Server Manager和PowerShell来pipe理这些服务器。 据我了解,我需要将我的用户添加到远程系统的本地pipe理员组或“pipe理”与域pipe理员帐户的服务器。 我可以看到的第三个选项是创build一个只有本地pipe理员权限的服务器,我将这样pipe理一个新的帐户。
哪三种做法最合适? (还是有更好的第四select?)
在AD域环境中,本地账户通常只是因为难以pipe理/追踪而被忽略。 一旦你有太多的不同的本地帐户,在太多的服务器上有太多独立的密码,你就会开始做一些不可避免的事情,比如在电子表格中跟踪它们,而不是在3年内更改它们的密码。
域帐户通常使事情更整洁。
您可以使用组策略中的“受限制的组”来保持机器的本地pipe理员组的清洁和可预测性。
如果您有一组您需要成为pipe理员的机器,但您并不需要成为域中每台机器的pipe理员,那么请务必使用组策略将特定的帐户添加为一个pipe理员到一组特定的机器。 例如,使用组策略将“会计部门经理”组分配到“会计部门”OU中所有机器上的pipe理员组。
而且你肯定是在正确的轨道上远程pipe理与服务器核心是要走的路。 服务器核心版本的攻击面较less,而且远程pipe理也允许networkinglogin,与通过RDP进行的完整交互式login相比,networkinglogin本身的攻击风险更低。
编辑:最后一个提示…不要使用组策略首选项来创build净新帐户。 这并不安全。 将现有的域帐户(或组)添加到本地组是可以的 – 但不要使用GPP来创build全新的用户,并将其密码存储在GPP中。