我正在寻找有关保护域和 Active Directory 环境的最佳实践的见解,特别是关于限制域管理员访问权限的见解。目标是确保具有域管理员帐户权限的个人对组织内高级管理人员(可以是域管理员帐户或域帐户)的凭据具有有限的访问权限或被拒绝修改。(因为域身份验证也用于访问一些内部机密应用程序)
我有兴趣了解可以实施的各种解决方案,无论它们是技术性的、战略性的还是基于 IT 部门和高层管理人员之间的理解的。
在我的研究中我发现:
· 最常见的是部署包括特权访问管理 (PAM) 和特权身份管理 (PIM) 解决方案的身份和访问管理解决方案 (IAM)。
· 其他解决方案包括分层方法,然后根据层级限制访问。
· 另一种成本有效但不太动态的方法是打破域管理员帐户,域管理员帐户不执行任何日常活动,所有日常/常规任务都可以在开始时委派给其他人,然后可以使域管理员帐户打破玻璃,即更改密码和新密码只有负责人知道,并且可以在需要时(紧急情况)提供给授权人员。
请随意添加我可能没有考虑到的任何其他方法。
因此,问题归结为公司通常采用哪些标准方法来保护其领导团队的敏感帐户不被域管理员访问?他们如何在安全需求与 IT 运营所需的访问权限之间取得平衡?
任何分享的经验、见解或推荐的资源都将不胜感激。