环境: 1 台 Win2008R2 网络服务器(也是域控制器) 13 个左右工作站。
传统上,我们始终使用服务器管理员凭据将工作站加入业务域网络或 13 个工作站。但是,我们现在正在实施密码策略,并要求管理员密码定期更改。
由于该政策的实施,网络服务器管理员帐户的密码今天已被更改。
我的工作站上使用的网络用户帐户密码也必须更新。
在系统提示我更改密码后,我注销了工作站并重新登录。然后我被要求输入域管理员凭据才能访问域。我怀疑这是因为服务器管理员帐户密码被更改了。
我原以为由于工作站已添加到 AD 中,所以它会被记住,但仍需要在工作站上输入凭据。
所以这让我想到一定有更好/正确的方法来做到这一点。
我认为我可以为此目的创建一个域管理员用户并将密码设置为永不过期,但我认为这肯定会违背最大化安全性的目的。
那么最好的方法是什么呢?
IE 首次将工作站添加/加入网络域时,应输入哪些域管理员凭据?
到目前为止我见过的所有文章和 YouTube 视频都说要输入管理员及其密码。
如果需要进一步扩展,请告诉我。
答案1
理想情况下,每个技术人员/管理员应该至少有两个(如果不是更多)帐户。
- 标准账户(用于日常非管理任务)
- 工作站管理员帐户(仅对工作站具有管理访问权限;对 Active Directory 中的工作站 OU 具有委派访问权限,无权访问服务器)
- 服务器管理员帐户(对服务器的管理访问权限和对服务器 OU 的委派访问权限 - 无权访问工作站)
- 域管理员帐户(对 Active Directory 具有管理访问权限;无权访问服务器,无权访问工作站 [安全管理工作站除外])
- 必要时可考虑其他帐户。
因此,应使用技术人员的工作站管理员帐户将计算机加入域。共享帐户 - 应仅在没有其他可用选项的情况下使用。或者,我可以看到一个选项,其中自动部署工具(如 SCCM 或类似工具)可以利用专用帐户,除了将计算机加入专用 OU 中的域之外,没有其他访问权限。
为了使其正常工作(除了前 10 个加入的工作站),您可以参考这篇文章:https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con(虽然老套,但很有用)。简而言之,步骤如下
- 打开 Active Directory 用户和计算机
- 右键单击工作站 OU,选择委派控制
- 按照向导进行操作并委派创建和删除文件夹中选定对象的自定义任务;仅限于文件夹中的计算机对象。
- 授予重置密码、R/W 帐户限制、验证写入 DNS 主机名以及验证写入服务主体名称的权限。
诀窍在于工作站管理员帐户应该是“工作站管理员”组的成员,从那时起,所有访问和权限都应授予工作站管理员组。
答案2
根据更正/编辑的问题更新答案
一旦计算机加入域,就无需重新加入域。一旦管理员帐户确认系统将添加到域,您可以删除该管理员帐户,这不会对使用该帐户添加的计算机产生任何影响。
我不确定您的理解中哪里出现了问题,但问题确实出现了。
域与其成员计算机之间的信任关系不以用于对各个系统进行身份验证的管理员帐户为前提或依据。
先前的答案,基于原始问题:
有很多方法可以解决这个问题,有些方法很好,而且安全意识很强,有些则不然。因此,这个问题确实值得采用开放式的讨论形式来充分阐述。不过,我熟悉以下两种方法:
每位承担相应职责的技术人员都有两个域用户帐户,一个是普通用户帐户,他们使用该帐户登录自己的计算机并执行大部分日常任务;另一个帐户具有域管理员权限,他们使用该权限打开工具并执行需要执行的任务。管理员帐户的安全要求更高、密码更长且更改更频繁。但它属于特定技术人员。
当需要域管理员权限时,将提交一份表格,说明需求和所需时间。将颁发临时凭证,其权限仅限于特定要求。任务完成后,这些凭证将被删除。
在某些情况下,每种方法都适用。但最简单的方法是为技术人员提供两套凭证,然后他们各自负责正确使用它们。
此外,创建共享凭证是一个糟糕透顶、毫无益处、非常糟糕的主意。让他们的密码永不过期只会让情况变得更糟。我不知道你的背景或经验是什么,但从你问题的背景来看,我猜你在组织中并不处于权威地位,你真的应该和那些有权威的人谈谈如何平衡安全性和便利性。
答案3
通常,可以将机器添加到 Active Directory 域的用户是Domain AdminsActive Directory 用户组的成员。
但是,如果获得适当的权限,非域管理员也可以添加机器。有些公司可能不希望服务台技术人员拥有域管理员权限,但希望他们能够将机器加入域。有了适当的权限,就可以实现这一点。请参阅此 Microsoft文章了解更多信息。