"Thực tiễn tốt nhất" thường ra lệnh LPU (người dùng ít đặc quyền nhất) ... nhưng bạn đã đúng (cũng như ETL và Joe nên +1) mà mọi người hiếm khi theo mô hình này.
Hầu hết các đề xuất là làm như bạn nói ... tạo 2 tài khoản và không chia sẻ các tài khoản đó với người khác. Một tài khoản không nên có quyền quản trị trên ngay cả máy trạm cục bộ mà bạn đang sử dụng trên lý thuyết, nhưng một lần nữa, người tuân theo quy tắc đó, đặc biệt là với UAC ngày nay (theo lý thuyết nên được bật).
Có nhiều yếu tố tại sao bạn muốn đi tuyến đường này mặc dù. Bạn phải có yếu tố bảo mật, tiện lợi, chính sách công ty, hạn chế quy định (nếu có), rủi ro, v.v.
Giữ cho các nhóm cấp Domain Admins
và Administrators
tên miền tốt và sạch sẽ với các tài khoản tối thiểu luôn là một ý tưởng tốt. Nhưng đừng đơn giản chia sẻ tài khoản quản trị miền phổ biến nếu bạn có thể tránh. Mặt khác, có nguy cơ ai đó đang làm gì đó và sau đó dùng ngón tay trỏ vào giữa các hệ thống "không phải tôi đã sử dụng tài khoản đó". Tốt hơn là có tài khoản cá nhân hoặc sử dụng một cái gì đó như CyberArk EPA để kiểm toán chính xác.
Ngoài ra trên các dòng này, Schema Admins
nhóm của bạn phải luôn là EMPTY trừ khi bạn thực hiện thay đổi cho lược đồ và sau đó bạn đặt tài khoản vào, thực hiện thay đổi và xóa tài khoản. Điều tương tự có thể được nói cho Enterprise Admins
đặc biệt là trong một mô hình miền duy nhất.
Bạn cũng KHÔNG nên cho phép các tài khoản đặc quyền VPN vào mạng. Sử dụng một tài khoản bình thường và sau đó nâng lên theo yêu cầu một lần bên trong.
Cuối cùng, bạn nên sử dụng SCOM hoặc Netwrix hoặc một số phương pháp khác để kiểm tra bất kỳ nhóm đặc quyền nào và thông báo cho nhóm thích hợp trong CNTT bất cứ khi nào bất kỳ thành viên nào trong nhóm này thay đổi. Điều này sẽ cung cấp cho bạn một cái đầu để nói "chờ một chút, tại sao lại như vậy và đột nhiên một Quản trị viên tên miền?" v.v.
Vào cuối ngày, có một lý do gọi là "Thực tiễn tốt nhất" chứ không phải "Chỉ thực hành" ... có những lựa chọn được chấp nhận bởi các nhóm CNTT dựa trên nhu cầu và triết lý của riêng họ về vấn đề này. Một số người (như Joe nói) chỉ đơn giản là lười biếng ... trong khi những người khác chỉ đơn giản là không quan tâm vì họ không quan tâm đến việc cắm một lỗ hổng bảo mật khi có hàng trăm đám cháy đã xảy ra và hàng ngày để chiến đấu. Tuy nhiên, bây giờ bạn đã đọc tất cả những điều này, hãy coi mình là một trong những người sẽ chiến đấu tốt và làm những gì bạn có thể để giữ mọi thứ an toàn. :)
Tài liệu tham khảo:
http://www.microsoft.com/en-us/doad/details.aspx?id=4868
http://technet.microsoft.com/en-us/l Library / cc700846.aspx
http://technet.microsoft.com/en-us/l Library / bb456992.aspx