(由于显而易见的原因,使用一次性帐户,如果这里不适合这样做,请告诉我)
各位系统管理员大家好,我被一家小公司聘为唯一的系统管理员。该公司目前与 MSP 合作处理其所有 IT 事务,他们希望将大部分工作外包,这就是他们聘用我的原因。
我应该接管 Active Directory 等职责。我查看了当前设置,提出了一些改进建议,并表示我需要在域管理员组中有一个专用的管理帐户。然后我继续解释我为什么需要它、它将用于什么以及我希望如何实施审计以使管理层了解我在做什么。我还解释说,审计并非 100% 万无一失,而且由于我将是设置它的人,因此我也必须拥有关闭它的必要权限。我想我是想让每个人都知道存在局限性,毕竟我是管理员……这就是我被聘用的原因。
Bossman 明显很担心,问我是否也可以访问包含一些机密内容(工资单、人事文件等)的文件共享。“没有明确说明,但作为管理员,我可以授予自己必要的权限”,我解释道。显然,这就是错误的我要说的是。老板说我需要想出某种流程来确保任何行政任务都受到经理的监督。
说实话,我觉得这种做法很无礼。我可以理解我是新手,他不认识我,但他雇佣我来做这项工作,毕竟我是一个经验丰富的系统管理员,有很好的推荐信!
现在,回到正题,抛开我的感受,我已经研究过可能的解决方案,要么审核我的域管理员帐户和一般的管理任务,要么启用 2FA,但我还没有找到一个解决方案
- 便宜的
- 我无法使用域管理员权限和对服务器的物理访问来禁用它,并且
- 允许我在没有经理在场/没有空闲的情况下紧急工作(他们经常同时出国旅行,无法通过电话/电子邮件联系到)。
到目前为止,我已经看过 Netwrix Auditor(https://www.netwrix.com/active_directory_auditing.html)、AD 审计、ESET 安全身份验证(https://www.eset.com/us/business/endpoint-security/two-factor-authentication) 和用于 2FA 的智能卡。没有一个符合上述标准。
有人有在这样的环境中工作的经历吗?我是否应该担心自己在这里的未来?
请注意,我不是为政府/国防/安全承包商工作,目前没有立法要求对我进行监督,并且公司不处理除其员工以外的 PII。
任何意见都值得赞赏!
编辑:正如有人在workplace.stackexchange.com上指出的那样,不鼓励交叉发布,让我将上述内容重新表述为一个技术问题:是否有人知道符合上述标准的产品?