域管理员通常可以访问域中的所有工作站以及域控制器。
我认为这是一个安全风险,因为如果域管理员帐户受到损害,攻击者就可以访问整个域配置(而不仅仅是工作站)。
更好的做法是将两者分开:一个组可以访问所有工作站,而一个用户(或组)只能在域控制器上拥有管理员访问权限。
这是个好主意吗?为什么不这样呢?
答案1
Is it a good idea?是的
Why is it not like this? 您可能还没有注意到,微软过去在安全方面做得并不好,一些不安全的默认配置仍然存在。网络适配器上启用的 NetBIOS 是另一个典型的例子。
在具有多个域的大型林中,如果您想在一个域中使用单个管理帐户来管理多个域,域管理员传统上并不是很有用,因为域管理员是一个全局组。因此,通常会创建一个通用组并将其添加到域管理员组,并将管理帐户添加到通用组,以便单个管理帐户可以在必要时访问多个域。(域管理员从管理员成员资格中获得几乎所有特权,并且很少有活动需要域管理员成员资格)。
使用 ESAE 和 Microsoft Identity Manager (MIM),多域林(甚至多个林)中的域管理员的限制不再存在,因为 MIM 可以动态地将 ESAE 林中的影子主体添加到域管理员,即使域管理员是全局组。此访问权限可以进一步限制为帐户拥有成员资格的时间,因此域管理员的唯一永久成员将是内置管理员帐户,该帐户仅应在紧急情况下使用。
控制限制:
登录限制:
