9 votos

Debo tener varias cuentas de administrador de dominio?

Yo trabajo en una organización pequeña con 2 servidores y 30 clientes. Estamos completamente de Windows Server 2003/XP. Además de mí, el Director de Operaciones y nuestra empresa de consultoría de TI necesitan tener acceso a una cuenta de administrador de dominio.

Si tenemos varias cuentas de administrador de dominio por cualquier motivo (cambio de registro, de seguridad, o de otra manera)? ¿Hay razones para no tener varios dominios, cuentas de administración?

24voto

Evan Anderson Puntos 118832

Cada usuario que realiza actividades administrativas, debe tener una cuenta dedicada a realizar esas actividades. En un entorno Windows, la incorporada en el (RID 500) cuenta de Administrador debe tener una contraseña compleja conjunto, impreso, y encerrado en una caja de seguridad, etcétera. para situaciones de emergencia.

Un principio general de la seguridad va como esto: Usted quiere saber quién es la realización de que (administrativa, en este caso) actividades (es decir, tener una pista de auditoría. Compartir cuentas de golpes que fuera del agua.

Además, usted quiere ser capaz de cortar de un individuo de acceso en caso de una violación de seguridad de la contraseña, despido, etc. Las cuentas compartidas no cumple con el criterio.

Común, compartido de uso de las cuentas de cualquier tipo deben ser considerados altamente dudoso valor, pero comparte las credenciales de administración son siempre malas.

re: Windows-sean específicos de consideraciones como la limitada Escritorio Remoto de Terminales / conexiones de Servicios de: Ser cortés a sus compañeros de los administradores y no dejar disconected sesiones por ahí. He encontrado que la presión social funciona bastante bien en organizaciones pequeñas (es decir, mencionar con frecuencia y en voz alta el hecho de que el admin XXX no recuerda a cierre de sesión de los servidores). Siempre se puede arrancar de otros usuarios de sesiones desconectadas si realmente tienen. Agrega, tal vez, de 30 segundos a un intento de conexión. En una organización más grande, o si se convierte en un gran problema, usted podría considerar la posibilidad de implementar desconectado tiempos de espera de sesión.

Un poco de lado, pero que es probablemente en el tema ya que usted menciona un consultor de TI: Como contratista yo siempre solicitar una dedicada de la cuenta de administración para mí, y yo de la demanda no saber nada "compartida" de las credenciales de administración. Protege a ambas partes y proporciona una pista de auditoría. Yo siempre quiero que mis Clientes se sientan que pueden "bloquear me out" en un momento (y de hecho para tener esa habilidad, demasiado) porque creo que esto envía un poderoso mensaje de que confío en mi capacidad para mantener la relación con ellos se basa en los méritos de mis habilidades y el valor que ofrecer, no se basa en algunos vaga sensación de que están "bloqueados" para mí.

1voto

Kyle Brandt Puntos 50907

Una de las razones para no tener una cuenta compartida:
Si usted administra todo el uso de escritorio remoto, usted puede tener un límite. Si la gente acaba de cerrar la sesión de escritorio remoto sin tener que salir de ellos recibirá atado rápidamente.

Una razón para tener una cuenta compartida:
Se puede ver que se registra en cuando si algo malo sucede. Aunque realmente, si usted tiene un buen ambiente de equipo, quien hizo algo acaba de admitirlo.

0voto

Alex. S. Puntos 16684

Evan la respuesta es buena. También recuerde que usted no debe usar su cuenta de administrador para el día-a-día de trabajo - siempre se ejecutan comandos de admin con runas o similar si se está ejecutando algo directamente en su estación de trabajo.

Para las cuentas de servicio, también puede deshabilitar el inicio de sesión interactivo para hacerlos más seguros.

Un último punto, asegúrese de apagar la auditoría de seguridad en sus servidores y asegúrese de que el registro de sucesos de seguridad es lo suficientemente grande (por lo general establecer a 20 MB o más)

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: