在工作中,我们最近收到一条建议,建议为域管理员设置两个单独的帐户。一个帐户将是没有管理员权限的标准用户帐户,另一个帐户将是域管理员的成员。虽然我可以理解为什么会提出这个建议,但这似乎也是一件非常麻烦的事情。
我知道 UAC 以一种几乎透明的方式管理这种类型的权限提升。UAC 或其他解决方案是否能够提供这种级别的保护?
答案1
是也不是,这取决于您对相关风险的承受能力。UAC 确实提供了一层保护,类似于sudoLinux 世界。但是,如果您习惯于盲目地单击所有 UAC 提示上的“是”,那么保护就会有所降低。如果您的帐户直接无权执行这些操作,那么意外关闭 UAC 提示并不危险。
当然,以域管理员帐户登录仍然存在危险,但这更像是一种故意行为,您可以通过拥有双重帐户来进一步分离授权。如果某人的职务职能发生变化,它还为您的组织提供了一种更简单的方法来删除授权。
答案2
事情没那么简单。
通过 2 个帐户(一个域用户和一个域管理员),您可以完全区分您作为系统用户的角色和您作为系统管理员的角色。
使用 UAC,您只能实现权限分离。您的 SID 始终保持不变,并且您无法使用 ACL 等来区分这两个角色。您要么有访问权限,要么没有访问权限。
如果您确实只想拥有一个用户,请确保在默认域策略中设置以下 2 个 UAC 设置:
管理员批准模式下管理员的提升权限提示行为 = 提示输入凭据
在管理员批准模式下运行所有管理员 = 已启用
答案3
我个人建议完全分离您的帐户,并启用管理员批准模式,并全面提示输入凭据。然后,您就可以完全分离您的帐户和 ACL 中的权限。每当您提升权限时,它都会提示输入凭据。
我为用户、域管理员、一般服务器管理员和工作站管理员分别设置了不同的帐户。根据操作或应用所需的权限,我会在 UAC 提示中输入相关凭据,并且只以用户帐户身份登录。