我正在浏览微软的保护 Active Directory 的最佳实践并看到链接的图表,其中包括文档中包含的一些最佳实践,按重要性评级。
第 6 条是“防止在未经授权的系统上使用强大的帐户”。我认为这意味着某些帐户,即面向任务的管理员(例如 DNS 管理员)无法登录“未经授权的系统”,例如网络上的客户端 PC。
当人们想到强大的帐户时,他们往往会想到拥有一切访问权限的管理员。但是,如果组织实施 LUA,则可以将任务委托给各个管理员,这样所有权力就不会集中在一个组中,从而可以限制这些事情。
只有当域实现授权并使用 LUA 时,#6 才有可能吗?如果这不是正确的观点,那么这句话是什么意思?
笔记:第 5 条是“保护和监控有权访问敏感数据的用户的帐户”——在完美的世界中,这意味着最小特权/委派原则,对吗?
答案1
我假设这意味着,例如,不使用域管理员凭据登录即可在工作站上执行日常工作。如果是这样,您将拥有一个“普通”用户帐户来执行“普通”工作,以及一个专门用于域管理员活动的域管理员帐户。对于您的 DNS 管理员示例,情况相同 - 有一个单独的帐户供他/她用于日常工作,DNS 管理员帐户用于 DNS 管理员工作。
我曾经在两种方式都使用过的地方工作过,我个人更喜欢使用独立账户的方式。例如,以前的一位雇主建议我使用个人黑莓手机接收工作电子邮件。这需要将域管理员凭据存储在我的移动服务提供商的服务器上,所以我拒绝了。有时,桌面技术人员还会要求我查看一台“行为异常”的机器,而使用域管理员凭据这样做总是让我感到害怕(之后我会立即更改密码)。