在工作中,我们最近收到了build议为域pipe理员提供两个单独的帐户。 一个帐户将是一个没有pipe理员权限的标准用户帐户,一个帐户将是Domain Admins的成员。 虽然我可以理解为什么这个build议正在制定,但这似乎也是一个皇家的痛苦。
我知道UAC以一种非常透明的方式pipe理这种types的权限升级。 UAC或其他解决scheme是否能够提供这种级别的保护?
是的,不,这取决于你所承受的风险的舒适程度。 UAC绝对提供了一层保护,类似于Linux世界中的sudo 。 但是,如果您习惯于在所有UAC提示中盲目单击“是”,则保护会有所降低。 如果您的帐户无权执行这些操作,那么意外解除UAC提示并不构成危险。
当然,在域pipe理员帐户下仍然有login的危险,但更多的是故意的行为,您可以通过拥有双重帐户来分开许多权限。 它还可以让您的组织更容易地删除授权,以防有人更换工作职能。
这并不是那么简单。
使用2个帐户,一个域用户和一个域pipe理员,您可以在作为系统用户的angular色和作为系统pipe理员的angular色之间完全分离。
使用UAC,您只能完成特权的分离。 你的SID总是保持不变,你不能用ACL来分隔这两个angular色。 要么你有访问权限,要么你没有权限。
如果您确实只想要一个用户,请确保在默认域策略中设置以下2个UAC设置:
pipe理员审批模式下pipe理员的提升提示行为=提示凭据
在“pipe理员审批模式”下启用所有pipe理员
我会亲自将您的帐户分开,并启用pipe理员审批模式,并提示您提供全面的凭据。 然后,您可以在ACL中完全分离您的帐户和权限。 每当你提升它提示凭据。
我有一个用户,域pipe理员,通用服务器pipe理员和工作站pipe理员的单独帐户。 根据我需要为某个操作或应用程序拥有的权限,我在UAC提示符中input相关的凭据,并且只能以我的用户帐户login。