我已经设置了一些 Windows Server 2012 VM,并正在尝试我的第一个 Core 安装。我打算使用服务器管理器和 PowerShell 管理这些服务器。据我了解,我要么需要将我的用户添加到远程系统的本地管理员组,要么使用域管理员的帐户“以管理员身份管理”服务器。我看到的第三种选择是创建一个新帐户,该帐户仅对我将以这种方式管理的服务器具有本地管理员权限。
上述三种做法哪一种最为合适?(或者是否有更好的第四种选择?)
- 将我的用户添加到远程服务器的本地管理员组。
- 使用服务器管理器的“管理为”选项以域管理员的凭据连接到远程服务器。
- 创建一个仅在适当情况下添加为本地管理员的新用户,然后使用“管理为”进行连接。
- 还有别的吗?
答案1
在 AD 域环境中,本地帐户通常不受欢迎,因为它们更难管理/跟踪。一旦您在太多服务器上拥有太多不同的本地帐户和太多单独的密码,您就会开始做一些不可避免的愚蠢的事情,比如在电子表格中跟踪所有帐户,并且 3 年内不更改密码...
域帐户通常会使事情变得更加整洁。
您可以使用组策略中的“受限组”之类的功能来保持机器的本地管理员组清洁且可预测。
如果你有一组特定的机器,你需要成为它们的管理员,但你不需要成为它们的管理员每一个如果域中的计算机是管理员,那么请随意使用组策略将特定帐户添加为特定计算机组的管理员。例如,使用组策略将“会计部门经理”组分配给“会计部门”OU 中的所有计算机上的管理员组,等等。
你是确实正确的做法是使用 Server Core 进行远程管理。安全性风险较低,一方面是因为 Server Core 版本具有较少的攻击面,另一方面是因为远程管理允许网络登录,这本身比通过 RDP 进行全面交互式登录的风险要小。
编辑:最后一条提示...不要使用组策略首选项来创建新帐户。这不安全。添加现存的域帐户(或组)添加到本地组是可以的 - 但不要使用 GPP 创建全新的用户并将其密码存储在 GPP 中。