我们与Windows 7 Enterprise计算机(一个域的所有成员)build立了一个networking。 我们一直在每台工作站上保留一个本地(未locking)“pipe理员”帐户,与内置(locking)的“pipe理员”帐户并行。 由于操作系统的安装需要在计算机join域之前创build初始帐户,因此我们已将“pipe理员”帐户保留为原有密码。 但是,这需要跨机器使用相同的密码,并且可能永远不会过期。
请注意,在我们的环境中,我们不会限制用户(主要是开发人员),也不打算这样做。 通常,域用户帐户是相应桌面上的Administrators组的成员。 另一方面,我们试图让事情集中pipe理。
在join域的工作站上保留这样的本地(非域名)pipe理员帐户有哪些优点和缺点:
在join域的工作站上保留这样的本地(非域名)pipe理员帐户有哪些优点和缺点:
没有什么区别。 具有pipe理权限的帐户可以销毁机器。 无论我们在谈论域名还是本地帐户,都是如此。 有人会认为,本地Administrator帐户更容易受到攻击,因为它是一个众所周知的用户名。 如果这是一个问题,您可以随时通过GPP更改帐户的用户名,虽然这不会减轻依赖于该帐户的众所周知的SID (无法更改)的攻击。 恕我直言,使用强密码比尝试逃避不必要的login尝试更重要。
本地pipe理员帐户独特的一个值得注意的区别是默认情况下它会自动绕过UAC 。 如果攻击者login,这是没有意义的。 UAC不会阻止他。 但是,UAC可以帮助保护合法的pipe理员。 这种行为可以通过GP来改变 ,作为一个区别。
本地账户难以pipe理。 而不仅仅是本地pipe理员帐户。 更改域帐户很容易在一个地方完成,影响所有使用该帐户的计算机。 本地帐户只能在存在的工作站上修改。 但是,随着组策略首选项的出现,可以使用组策略pipe理一些本地帐户更改(例如,将本地pipe理员重命名为其他内容)。 也有实用程序可用于更改本地帐户密码。
本地pipe理员帐户是不可或缺的。 只有以前的10个域帐户才能成功login一台机器,但仍然可以在连接到DC的情况下login(此数目是可configuration的 )。 如果这些帐户中没有一个具有本地pipe理员权限,而且您正在对无法build立networking连接的计算机进行疑难解答,那么您就被卡住了 即使访问故障恢复控制台也是不可能的(至less在没有黑客入侵的情况下)。 但是使用可用的本地pipe理员帐户,您不必担心发生这种情况。 仅凭这个原因,我在我pipe理的所有域计算机上都有一个本地pipe理员帐户,包括(特别是)服务器。
我的代表仍然太低,发表评论,所以我必须发布这个答案:
有一个本地pipe理员帐户通常是一个好主意,当networking失败或域成员过期,你仍然可以login和解决问题。 但是对于所有机器都有相同的密码是不好的,有两种可能的解决scheme:1.改变密码regulary 2.编写一些脚本,生成一个随机的密码,并将其存储在只有你有权访问(例如在一个共享)