我在一家小型组织工作,有 2 台服务器和 30 台客户端。我们完全使用 Windows Server 2003/XP。除了我之外,运营总监和我们的 IT 咨询公司也需要访问域管理员帐户。
出于任何原因(更改日志、安全性或其他原因),我们是否应该拥有多个域管理员帐户?是否有理由不拥有多个域管理员帐户?
答案1
每个执行管理活动的用户都应有一个专用帐户来执行这些活动。在 Windows 环境中,内置 (RID 500) 管理员帐户应设置复杂的密码,打印出来并锁在保险箱中等,以备紧急情况。
安全的一般原则是这样的:您想知道谁在执行哪些活动(在本例中是管理活动)(即拥有审计跟踪)。共享帐户会使这一点变得难以实现。
此外,您希望能够在发生密码安全漏洞、终止等情况时切断个人访问权限。共享帐户也不符合该标准。
任何类型的共享、常用帐户的价值都应被视为高度可疑,但共享管理凭证则总是坏的。
回复:Windows 特定的注意事项,例如有限的远程桌面/终端服务连接:对您的同事管理员要有礼貌,不要让断开连接的会话闲置。我发现社交压力在小型组织中非常有效(即频繁大声提及管理员 XXX 不记得注销服务器的事实)。如果确实需要,您可以随时启动其他用户的断开连接的会话。这可能会增加 30 秒的连接尝试时间。在较大的组织中,或者如果它成为一个大问题,您可以考虑实施断开连接的会话超时。
稍微离题一下,但既然你提到了 IT 顾问,那么这个问题可能与主题有关:作为一名 IT 承包商,我总是申请一个专门的管理帐户,并且我要求不了解任何“共享”管理凭据。它可以保护双方并提供审计跟踪。我总是希望我的客户感觉他们可以随时“锁定我”(并且实际上也拥有这种能力),因为我相信它传达了一个强有力的信息,即我相信我有能力根据我的技能和我提供的价值来维持与他们的关系,而不是基于他们被“锁定”于我的某种模糊感觉。
答案2
不拥有多个帐户的一个原因:
如果您使用远程桌面管理一切,则可能会受到限制。如果人们只是关闭远程桌面会话而不注销,他们很快就会陷入困境。
拥有多个帐户的原因:
如果发生不好的事情,您可以查看当时登录的人。但事实上,如果您有一个良好的团队环境,那么无论谁做了什么,都会承认。
答案3
Evan 的回答很好。另外请记住,您不应该使用管理员帐户进行日常工作 - 如果您直接在工作站上运行某些内容,请始终使用 runas 或类似命令运行管理员命令。
对于服务帐户,您还可以禁用交互式登录以使其更安全。
最后一点,确保在服务器上启用安全审核,并确保安全事件日志足够大(我通常将其设置为 20MB 或更大)