Tôi làm việc trong một tổ chức nhỏ với 2 máy chủ và 30 khách hàng. Chúng tôi hoàn toàn là Windows Server 2003 / XP. Ngoài tôi, Giám đốc Điều hành và công ty tư vấn CNTT của chúng tôi cần quyền truy cập vào tài khoản quản trị viên tên miền.
Chúng ta có nên có nhiều tài khoản quản trị viên tên miền vì bất kỳ lý do gì (thay đổi đăng nhập, bảo mật hoặc cách khác) không? Có lý do để không có nhiều tài khoản quản trị tên miền?
Câu trả lời:
Mỗi người dùng thực hiện các hoạt động quản trị nên có một tài khoản riêng để thực hiện các hoạt động đó. Trong môi trường Windows, tài khoản Quản trị viên (RID 500) tích hợp phải có một bộ mật khẩu phức tạp, được in và khóa trong két an toàn, v.v. trong trường hợp khẩn cấp.
Một nguyên lý chung về bảo mật diễn ra như sau: Bạn muốn biết ai đang thực hiện các hoạt động (hành chính, trong trường hợp này) (nghĩa là có một bản kiểm toán. Chia sẻ tài khoản thổi ra khỏi nước.
Hơn nữa, bạn muốn có thể cắt quyền truy cập của một cá nhân trong trường hợp vi phạm bảo mật mật khẩu, chấm dứt, v.v. Các tài khoản được chia sẻ cũng không đáp ứng tiêu chí đó.
Các tài khoản được chia sẻ, sử dụng chung thuộc bất kỳ loại nào nên được coi là rất đáng ngờ về giá trị, nhưng thông tin quản trị dùng chung luôn xấu.
re: Các cân nhắc của Windows-specfic như các kết nối Dịch vụ Máy tính để bàn / Thiết bị đầu cuối hạn chế: Hãy tỏ ra nghiêm túc với các quản trị viên đồng nghiệp của bạn và không để các phiên bị bỏ qua xung quanh. Tôi đã thấy rằng áp lực xã hội hoạt động khá tốt trong các tổ chức nhỏ (tức là đề cập thường xuyên và lớn tiếng rằng quản trị viên XXX không nhớ đăng xuất máy chủ). Bạn luôn có thể khởi động các phiên bị ngắt kết nối của người dùng khác nếu bạn thực sự phải làm. Nó cho biết thêm, có thể, 30 giây cho một nỗ lực kết nối. Trong một tổ chức lớn hơn hoặc nếu nó trở thành một vấn đề lớn, bạn có thể xem xét thực hiện thời gian chờ phiên bị ngắt kết nối.
Bỏ qua một chút, nhưng có lẽ đó là về chủ đề kể từ khi bạn đề cập đến một nhà tư vấn CNTT: Bản thân tôi là một nhà thầu CNTT, tôi luôn yêu cầu một tài khoản quản trị dành riêng cho mình và tôi yêu cầu không biết bất kỳ thông tin quản trị "chia sẻ" nào. Nó bảo vệ cả hai bên và cung cấp một dấu vết kiểm toán. Tôi luôn muốn Khách hàng của mình cảm thấy như họ có thể "khóa tôi" ngay lập tức (và thực sự cũng có khả năng đó) bởi vì tôi tin rằng nó gửi một thông điệp mạnh mẽ rằng tôi tự tin vào khả năng duy trì mối quan hệ của mình chúng dựa trên giá trị kỹ năng của tôi và giá trị tôi cung cấp, không dựa trên một số cảm giác mơ hồ rằng chúng "bị khóa" với tôi.
Một lý do để không có nhiều tài khoản:
Nếu bạn quản trị mọi thứ bằng máy tính để bàn từ xa, bạn có thể có giới hạn đối với những tài khoản đó. Nếu mọi người chỉ đóng phiên máy tính từ xa mà không đăng xuất, họ sẽ bị trói nhanh chóng.
Một lý do để có nhiều tài khoản:
Bạn có thể biết ai đã đăng nhập khi có điều gì xấu xảy ra. Thực sự, nếu bạn có một môi trường nhóm tốt, bất cứ ai đã làm một cái gì đó sẽ chỉ thừa nhận nó.
Câu trả lời của Evan là tốt. Ngoài ra, hãy nhớ rằng bạn không nên sử dụng tài khoản quản trị viên của mình cho công việc hàng ngày - luôn chạy các lệnh quản trị viên với runas hoặc tương tự nếu bạn đang chạy một cái gì đó trực tiếp trên máy trạm của bạn.
Đối với tài khoản dịch vụ, bạn cũng có thể tắt đăng nhập tương tác để làm cho chúng an toàn hơn.
Điểm cuối cùng, đảm bảo bạn bật kiểm tra bảo mật trên máy chủ của mình và đảm bảo nhật ký sự kiện bảo mật đủ lớn (tôi thường đặt nó ở mức 20MB trở lên)