在我们的 Windows 环境中,我们的域管理员只有一个用户帐户。此单个用户帐户用于所有用途,包括在日常工作站上运行。在逐渐放弃这种做法的过程中,我们正在寻找有关如何设置域管理员的最佳实践。
显而易见的第一步是默认使用低权限帐户并根据需要升级应用程序。由于这是我们第一次转向此设置,因此我们不知道应该寻找什么以及应该进行哪些更改。从更广泛的角度来看,这对我们作为 SharePoint 管理员有何影响?Office 365 管理员?等等。
有哪些资源?或者您能提供哪些资源?
答案1
我将采取与@TheCleaner 相反的策略。
这些域管理员帐户的密码哈希可能遍布您的网络,只等待传递哈希的情况。 因此,我建议您立即从域管理员中删除这些帐户,并开始将其用作受限用户。 (您仍然应该更改密码。)
这种方法还具有明显的优势,即不需要任何配置文件“巫术”,并且希望不会更改主目录等资源的任何权限,这些资源本来就应该有用户名称。这还可以保留 Excahnge 邮箱。
创建新的域管理员成员帐户,并将登录限制限制在域控制器计算机。这些帐户除了登录域控制器计算机外,不得用于任何其他用途,以限制其密码哈希的暴露。
这将是一次艰难的过渡,您将遇到仅在客户端计算机上运行的程序,因为您的用户帐户隐式地属于本地“管理员”组。通过使用另一个组嵌套(例如“前域管理员”)为这些帐户授予本地管理员权限,您可能可以稍微轻松接受这一点。最终,您也会希望摆脱这种情况。
答案2
这是我的快速建议...因为您现在可以很容易地“向后”工作来获得您想要的东西。
- 将 AD 中的现有帐户重命名为“Mark-Admin”之类的名称。更改其显示名称和用户登录名(用户名)。SID 将保持不变,因此本质上类似于让某人从娘家姓改为已婚姓。所有地方的所有权限等都保持不变。
- 为他们各自创建新的低权限帐户,现在称为“Mark”(无论他们以前使用的旧普通用户名是什么)。授予这些帐户访问其主文件夹的权限和/或此普通帐户需要访问的任何其他权限。您还需要将 Exchange/电子邮件系统信息(电子邮件地址等)从旧帐户转移到此帐户。请记住,如果您不使用 SSO,他们的电子邮件地址可能会用作 O365 或其他门户的登录信息。
- 删除“Mark-Admin”不再需要访问的任何权限(如果有)。
- 使用以下工具ForensIT 配置文件向导在他们的工作站上将他们的配置文件从旧 SID(现在是 Mark-Admin 用户名)迁移到他们的新 SID(Mark)...将他们的桌面/配置文件/等返回给他们,就好像他们一直在该帐户上使用它一样。
- 对于不提供 SSO 的登录/身份验证门户(可能是您的 O365、Sharepoint 等),您需要以某种方式更新它们。例如,如果您没有与 AD 同步,则需要直接更新它,要么创建新帐户,要么修改现有帐户的权限。这将基于您的设置。例如,如果他们当前使用电子邮件地址登录,那么该地址显然会转移到他们的低权限帐户(Mark),您需要为 Mark-Admin 设置不同的地址。
- 利润