我们有两位管理员负责维护一台运行 Windows 10 的机器。两位管理员都需要有能力在机器上安装任何软件(包括需要管理员权限的软件)并进行系统更改。
然而,管理员 A(如果您愿意,可以称为“超级管理员”)的帐户必须禁止管理员 B 访问。
默认情况下,Windows 允许管理员更改任何其他用户(包括另一个管理员用户)的密码。因此,没有什么可以阻止管理员 B 删除/更改管理员 A 的密码,并以此方式登录其帐户。
如果我们创建 2 个标准用户帐户,管理员将无法执行需要管理员权限的操作。如果我们仅创建 2 个管理员帐户,管理员 B 将能够访问管理员 A 的帐户。
话说回来,创建此类设置的最佳方法是什么?
例如,有没有办法创建一个有权访问的管理员用户最多管理员权限,但不是修改其他用户账户的权限?
请注意,如果发生违规行为,仅确认管理员 B 非法登录了管理员 A 的帐户,因为没有办法“收回”被盗数据。因此我们的目标是防止这种情况首先就会发生。
答案1
您可能想要解决的两个合理担忧是:
- 能够审计谁做了更改。
- 特权分离。
解决此问题的一种方法可能是为每个管理员创建两个帐户(alice+alice_admin和bob+ bob_admin),这将允许两个管理员使用自己的帐户进行日常工作,然后在特定任务需要更高级别的访问权限时使用他们的特权帐户。将这四个帐户全部保存在 ActiveDirectory 中意味着它们在所有计算机上都可用。
因此,没有什么可以阻止一个管理员删除/更改另一个管理员的密码,并以这种方式登录他的帐户。
没错,然而大多数系统都会对密码进行哈希处理,因此将密码重置为原始值“更加困难”,所以通常很明显有人弄乱了密码。
我在这里暗示的是,您可以提供一些防止意外更改的保护/提供有关此类情况下发生情况的审计历史记录。
然而,几乎不可能阻止拥有管理权限和恶意的人掩盖他们的踪迹。如果你的公司有这种情况,你应该把这看作是人力资源问题,并以此来处理。
最后,从实际情况来看,您可能需要在某个时候解雇一位(或两位)管理员,因此必须设置访问权限,以便当发生这种情况时,任一管理员都可以完全删除其他管理员的访问权限。