我正在嘗試增強我的網域安全性,此過程的一部分(如 somr RTFM 之後)是:
- 服務管理員帳戶 - 用於服務(防毒、spiceworks、任務規劃程式、NAS 備份、SQL 管理等)
- 管理員個人管理員帳號(CIO、CTO、RD 經理...)
- 嘗試將網域管理員的使用限制為 NULL
然而,我在腦中很難按照這些帳戶的方式組織:
對於服務 ADM 帳戶 - 非常清楚(只能存取他們需要執行的操作,並刪除 gui 存取權限)
但對於個人管理員來說:他們(我和其他人)需要什麼憑證?
由於我將創建完全相同的作品,僅以 adm.myuser.name 身份使用密碼登錄,我是否應該將自己新增至管理員群組?
- 這樣做確實有助於控制用戶、限制共享帳戶等,但應該這樣做嗎?
擁有此類個人網域管理員的最佳實踐是什麼?
一旦我開始走上這條路,將會有更多的用戶需要我控制和監控 - 我該如何做到這一點? - 如何監控我的 srv.adm.sql 使用者?
答案1
關於個人管理員帳戶,這裡有兩條路可走:
- 每個人都有一個個人管理員帳戶以及一個普通使用者帳戶。
- 每個人都會獲得一個用於日常事務的個人管理員帳戶。
顯然第一個是更安全的選項,但現實表明許多管理員只會使用它而不會打擾另一個。這就是為什麼存在第二個選項的原因。單獨的管理員帳戶可以提高環境的可審核性,這是正確且正確的做法。
使用兩個帳戶(一個普通帳戶和一個高級帳戶)是完全可行的,但需要一些工作才能真正成功地生活。 Windows 的問題在於,它有時只能像您的提升帳戶一樣「作為」某些管理工具運行。一種選擇是在某個地方設定終端伺服器,管理員必須登入才能使用其提升的帳戶。另一種選擇是僅限管理的虛擬機器。
至於監控它們的使用情況,需要某種形式的安全監控環境,您可能有也可能沒有。有很多方法可以做到這一點,這超出了這個問題的範圍。如果您採用「單獨的管理員帳戶,登入限製到某些管理工作站」路線,您可以直接監控這些安全性日誌,這可能比環境範圍的解決方案更容易。