私はドメインのセキュリティを強化しようとしており、このプロセスの一部は次のとおりです (somr RTFM の後)。
- サービス管理者アカウント - サービス用 (ウイルス対策、spiceworks、タスク スケジューラ、NAS バックアップ、SQL 管理など)
- 管理者向けの個人管理者アカウント (CIO、CTO、RD Mgr...)
- ドメイン管理者の使用をNULLに制限する
しかし、これらのアカウントを頭の中でどのように整理すればよいのかがわかりません。
サービス ADM アカウントの場合 - 非常に明確です (必要な機能のみにアクセスでき、GUI アクセスは削除します)
しかし、個人管理者の場合、彼ら(私と他の人)に必要な資格情報は何でしょうか?
文字通り同じ作業を作成し、パスワードを使用して adm.myuser.name としてログインするだけなので、自分自身を Administrators グループに追加する必要がありますか?
- そうすることで、ユーザーの制御や共有アカウントの制限などに多少役立ちますが、それが正しい方法なのでしょうか?
このような個人ドメイン管理者を配置するためのベストプラクティスは何ですか?
この道を歩み始めると、制御および監視する必要があるユーザーがさらに多くなります。どうすればよいでしょうか? - srv.adm.sql ユーザーを監視するにはどうすればよいですか?
答え1
個人管理者アカウントに関しては、次の 2 つの方法があります。
- 誰でも、通常のユーザー アカウントに加えて、個人管理者アカウントを取得できます。
- 誰もが、通常の用途に使用する個人管理者アカウントを取得します。
明らかに最初のオプションの方がより安全ですが、現実には多くの管理者はそれを使い、他のオプションは気にしないでしょう。だからこそ、2 番目のオプションが存在します。管理者アカウントを分けると、環境の監査可能性が高まります。これは正しく、正しいことです。
通常のアカウントと昇格されたアカウントの 2 つのアカウントで生活することは、かなり可能ですが、実際にうまく生活するには多少の作業が必要です。Windows の問題は、昇格されたアカウントとして特定の管理ツールを「実行」することが時々しか機能しないことです。1 つのオプションは、管理者が昇格されたアカウントを使用するためにログインする必要があるターミナル サーバーをどこかに置くことです。もう 1 つのオプションは、管理者専用の仮想マシンです。
それらの使用状況を監視するには、環境全体にわたる何らかのセキュリティ監視が必要になりますが、それが必要な場合もあります。それを実行する方法は多数ありますが、この質問の範囲を超えています。「個別の管理者アカウント、特定の管理ワークステーションへのログイン制限」ルートを選択すると、それらのセキュリティ ログを直接監視できます。これは、環境全体のソリューションよりも簡単かもしれません。