2 votos

¿Es una buena idea separar los administradores de dominio y los administradores de controlador de dominio?

Administradores de dominio suele tener acceso a todas las estaciones de trabajo en el dominio, y los controladores de dominio también.

Yo veo esto como un riesgo de seguridad, ya que si la cuenta de administrador de dominio se ve comprometida, el atacante tiene acceso a toda la configuración del dominio (y no sólo las estaciones de trabajo).

¿Qué sería mejor, sería la de separar las dos: un grupo que tiene acceso a todas las estaciones de trabajo, y un usuario (o grupo) que sólo tiene acceso de administrador en los controladores de dominio.

Es una buena idea? ¿Por qué no es así ?

1voto

Greg Askew Puntos 17236

Is it a good idea?

Why is it not like this? En el caso de que usted no ha notado, Microsoft no era muy buena en la seguridad en el pasado, y algunas de las configuraciones por defecto que no están seguros todavía están presentes. NetBIOS habilitado en adaptadores de red es otro ejemplo clásico.

En los grandes bosques con varios dominios, Administradores de Dominio tradicionalmente no era muy útil si se desea utilizar una sola cuenta administrativa en un dominio controlado de múltiples dominios, debido a los Administradores de Dominio es un Grupo Global. Así que un grupo Universal normalmente se crea y se añade al grupo de Administradores de dominio, y a las cuentas administrativas añadido para el Grupo Universal para una sola cuenta administrativa podría tener acceso a varios dominios, si es necesario. (Administradores de dominio tiene casi todos los privilegios de la membresía en los Administradores, y muy pocas las actividades que requieren el Dominio de Administración de la membresía).

Con una ESAE y Microsoft Identity Manager (MIM), las limitaciones de Administradores de Dominio en un bosque de varios dominios (o incluso varios bosques) ya no existen debido a MIM puede agregar dinámicamente sombra a los directores de la ESAE bosque a los Administradores de Dominio aunque Administradores de Dominio es un Grupo Global. Este acceso puede ser limitado a la cantidad de tiempo de la cuenta de afiliación, por lo que el único miembro permanente de Administradores de Dominio sería la cuenta integrada de Administrador, que sólo debe usarse en caso de emergencia.

https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Restricciones De Control:

Control Restrictions

Restricciones De Inicio De Sesión:

Logon Restrictions

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: