为域管理员提供单独的域登录是最佳做法吗？

Question 1

“最佳实践”通常规定 LPU（最小特权用户）...但是您是对的（ETL 和 Joe 也是如此，所以 +1），人们很少遵循这种模型。

大多数建议都是按照你说的做...创建 2 个帐户，不要与他人共享这些帐户。理论上，一个帐户不应该拥有你正在使用的本地工作站的管理员权限，但谁又会遵守这条规则呢，尤其是现在有了 UAC（理论上应该启用）。

不过，选择这条路线的原因有很多。你必须考虑安全性、便利性、公司政策、监管限制（如果有）、风险等。

Domain Admins用最少的账户保持Administrators域级别组的整洁始终是一个好主意。但如果可以避免，请不要简单地共享通用域管理员帐户。否则，可能会有人做某事，然后系统管理员之间互相指责“不是我使用了那个帐户”。最好有个人账户或使用 CyberArk EPA 之类的东西来正确审核它。

同样，您的Schema Admins组应该始终为空，除非您要更改架构，然后放入帐户，进行更改，然后删除帐户。同样适用于Enterprise Admins单域模型。

您还不应允许特权帐户通过 VPN 进入网络。请使用普通帐户，进入后根据需要提升权限。

最后，您应该使用 SCOM 或 Netwrix 或其他方法来审核任何特权组，并在这些组的任何成员发生变化时通知 IT 中的相应组。这样您就可以提前说“等一下，为什么某某突然成为域管理员？”等等。

归根结底，它之所以被称为“最佳实践”而不是“唯一实践”是有原因的……IT 团队根据自己的需求和理念做出了可接受的选择。有些人（如 Joe 所说）只是懒惰……而其他人则根本不在乎，因为他们对修补一个安全漏洞不感兴趣，因为已经有数百个安全漏洞，而且每天都有大火要扑灭。但是，既然您已经阅读了所有这些内容，请将自己视为会为之奋斗并尽一切努力确保安全的人之一。:)

参考：

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

Answer

“最佳实践”通常规定 LPU（最小特权用户）...但是您是对的（ETL 和 Joe 也是如此，所以 +1），人们很少遵循这种模型。

大多数建议都是按照你说的做...创建 2 个帐户，不要与他人共享这些帐户。理论上，一个帐户不应该拥有你正在使用的本地工作站的管理员权限，但谁又会遵守这条规则呢，尤其是现在有了 UAC（理论上应该启用）。

不过，选择这条路线的原因有很多。你必须考虑安全性、便利性、公司政策、监管限制（如果有）、风险等。

Domain Admins用最少的账户保持Administrators域级别组的整洁始终是一个好主意。但如果可以避免，请不要简单地共享通用域管理员帐户。否则，可能会有人做某事，然后系统管理员之间互相指责“不是我使用了那个帐户”。最好有个人账户或使用 CyberArk EPA 之类的东西来正确审核它。

同样，您的Schema Admins组应该始终为空，除非您要更改架构，然后放入帐户，进行更改，然后删除帐户。同样适用于Enterprise Admins单域模型。

您还不应允许特权帐户通过 VPN 进入网络。请使用普通帐户，进入后根据需要提升权限。

最后，您应该使用 SCOM 或 Netwrix 或其他方法来审核任何特权组，并在这些组的任何成员发生变化时通知 IT 中的相应组。这样您就可以提前说“等一下，为什么某某突然成为域管理员？”等等。

归根结底，它之所以被称为“最佳实践”而不是“唯一实践”是有原因的……IT 团队根据自己的需求和理念做出了可接受的选择。有些人（如 Joe 所说）只是懒惰……而其他人则根本不在乎，因为他们对修补一个安全漏洞不感兴趣，因为已经有数百个安全漏洞，而且每天都有大火要扑灭。但是，既然您已经阅读了所有这些内容，请将自己视为会为之奋斗并尽一切努力确保安全的人之一。:)

参考：

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

Question 2

据我所知，对于域/网络管理员来说，最佳做法是拥有一个标准用户帐户，用于登录他们的工作站来执行常规的“用户”任务（电子邮件、文档等），并拥有一个具有适当组成员身份的命名管理帐户，以允许他们执行管理任务。

这是我尝试遵循的模型，尽管如果现有 IT 人员不习惯这样做的话，实施起来会很困难。

就我个人而言，如果我发现 IT 人员不愿意朝这个方向发展，我会认为他们要么懒惰，要么缺乏经验，要么不了解系统管理的实践。

Answer

据我所知，对于域/网络管理员来说，最佳做法是拥有一个标准用户帐户，用于登录他们的工作站来执行常规的“用户”任务（电子邮件、文档等），并拥有一个具有适当组成员身份的命名管理帐户，以允许他们执行管理任务。

这是我尝试遵循的模型，尽管如果现有 IT 人员不习惯这样做的话，实施起来会很困难。

就我个人而言，如果我发现 IT 人员不愿意朝这个方向发展，我会认为他们要么懒惰，要么缺乏经验，要么不了解系统管理的实践。

Question 3

出于安全原因，这是最佳做法。正如其他人提到的，它可以防止您意外执行某些操作，或防止您因浏览网络而受到攻击。它还可以限制您的个人浏览可能造成的损害——理想情况下，您的日常工作甚至不应该具有本地管理员权限，更不用说域管理员了。

它也非常有用来对抗传递哈希或 Windows 身份验证令牌劫持。（例子）适当的渗透测试将轻松证明这一点。也就是说，一旦攻击者获得对本地管理员帐户的访问权限，他们就会使用该权限迁移到具有域管理员令牌的进程中。然后他们实际上就拥有了这些权限。

举个例子，我的公司就是这样的！（200 人左右，6 人运营团队）事实上，我们的域管理员有三个账户。一个用于日常使用，一个用于 PC 管理/本地安装软件。第三个是域管理员账户，仅用于管理服务器和域。如果我们想要更加谨慎/安全，第四个账户可能更合适。

Answer

出于安全原因，这是最佳做法。正如其他人提到的，它可以防止您意外执行某些操作，或防止您因浏览网络而受到攻击。它还可以限制您的个人浏览可能造成的损害——理想情况下，您的日常工作甚至不应该具有本地管理员权限，更不用说域管理员了。

它也非常有用来对抗传递哈希或 Windows 身份验证令牌劫持。（例子）适当的渗透测试将轻松证明这一点。也就是说，一旦攻击者获得对本地管理员帐户的访问权限，他们就会使用该权限迁移到具有域管理员令牌的进程中。然后他们实际上就拥有了这些权限。

举个例子，我的公司就是这样的！（200 人左右，6 人运营团队）事实上，我们的域管理员有三个账户。一个用于日常使用，一个用于 PC 管理/本地安装软件。第三个是域管理员账户，仅用于管理服务器和域。如果我们想要更加谨慎/安全，第四个账户可能更合适。

Question 4

我曾经在两种方式都使用过的地方工作过，通常我更喜欢使用单独的帐户。事实上，这种方式要简单得多，这与 joeqwerty 那些不情愿的用户/客户的想法相反：

使用正常的日常帐户进行域管理活动的优点：太棒了，所有管理工具都可以在我的工作站上运行，无需使用 runas！太棒了！

使用您日常的正常帐户进行域管理活动的缺点：恐惧。;) 桌面技术人员要求您查看一台机器，因为他无法找出它的问题所在，您登录后发现它感染了病毒。拔掉网线，更改密码（在其他地方）。当经理问您为什么没有通过手机提供商在您的个人黑莓手机上收到工作电子邮件时，您可以解释说，当您这样做时，他们会将您的域管理员密码存储在他们的服务器上。等等。您的高权限密码可用于诸如……网络邮件、vpn、登录此网页等。（Ew。）（公平地说，我的帐户被阻止进入“更改密码”网页，所以至少有这个。如果我想更改网页同步的旧 LDAP 密码，我必须去同事的办公桌。）

使用不同帐户进行域管理活动的优点：目的。该帐户是故意的用于管理工具等，而不是用于电子邮件、网络邮件、vpn、网页登录等。因此，不必担心我的正常“用户”活动会使整个域面临风险。

使用不同帐户进行域管理活动的缺点：我必须使用 runas 来管理工具。这没那么麻烦。

TL;DR 版本：拥有一个单独的帐户很简单更轻松。 这也是最佳实践，因为它最不必要的特权。

Answer