我们有一个网络,其中有 Windows 7 Enterprise 计算机,所有计算机都是域成员。我们在每个工作站上都保留一个本地(未锁定)“管理员”帐户,与内置(锁定)“管理员”帐户并行。由于安装操作系统需要在计算机加入域之前创建一个初始帐户,因此我们保留了“管理员”帐户的强密码。但是,这要求在多台机器上使用相同的密码,并且可能永不过期。
请注意,在我们的环境中,我们不会对用户(主要是开发人员)进行过多限制,也不打算这样做。通常,域用户帐户是各自桌面上的管理员组的成员。另一方面,我们尝试集中管理。
在加入域的工作站上保留此类本地(非域)管理员帐户的优缺点是什么:
- 安全
- 管理
- 数据访问
- 解决问题
答案1
在加入域的工作站上保留此类本地(非域)管理员帐户的优缺点是什么:
安全
没什么区别。具有管理权限的帐户可以破坏机器。无论我们谈论的是域帐户还是本地帐户,都是如此。有些人会认为本地Administrator帐户更容易受到攻击,因为它是一个众所周知的用户名。如果担心这一点,您可以随时更改帐户的用户名使用 GPP虽然这不能减轻依赖账户的攻击知名 SID,这是无法更改的。在我看来,使用强密码比试图逃避不必要的登录尝试更重要。
一个值得注意的独特区别是当地的管理员帐户默认为自动绕过 UAC。如果攻击者已登录,则这毫无意义;UAC 不会阻止他。但是,UAC 可以用于帮助保护合法管理员。此行为可能通过 GP 更改将其作为差异消除。
管理
本地账户更难管理。不仅仅是本地管理员帐户。更改域帐户很容易在一个地方完成,影响使用该帐户的所有计算机。本地帐户只能在其所在的工作站上进行修改。但是,随着组策略首选项的出现,一些本地帐户更改(例如将本地管理员重命名为其他名称 [见上文])可以通过组策略进行管理。还有可用于更改本地帐户密码的实用程序。
数据访问/问题解决
本地管理员帐户是必不可少的。只有之前成功登录计算机的 10 个域帐户在与 DC 的连接丢失时仍可登录(此数字是可配置)。如果这些帐户都没有本地管理员权限,而您正在对无法建立网络连接的计算机进行故障排除,那么您将陷入困境。甚至无法访问恢复控制台(至少在没有黑客攻击的情况下)。但是,有了可用的本地管理员帐户,您就不必担心这种情况的发生。仅仅因为这个原因,我在我管理的所有域计算机上都有一个本地管理员帐户,包括(尤其是)服务器。
答案2
我的声誉仍然太低,无法发表评论,所以我必须发布此内容作为答案:
拥有本地管理员帐户通常是一个好主意,当网络出现故障或域成员资格过期时,您仍然可以登录并解决问题。但是,对所有机器使用相同的密码并不是一个好主意,对此有两种可能的解决方案 1. 定期更改密码 2. 编写一些生成随机密码的脚本并将其存储在只有您有权访问的地方(例如在共享上)