34 votos

¿Es las mejores prácticas para tener separado inicio de sesión en un dominio para administradores de dominio?

Yo normalmente como configurar accesos independientes para mí, uno con regular los permisos de usuario, y una separada para las tareas administrativas. Por ejemplo, si el dominio fue XXXX, me gustaría establecer una XXXX\bpeikes y un XXXX\adminbp cuenta. Yo siempre lo he hecho porque, francamente, yo no confío en mí mismo para iniciar sesión como administrador, pero en cada lugar que he trabajado, los administradores del sistema pareciera que acaba de añadir a su habitual cuentas para el grupo de Administradores de Dominio.

¿Hay alguna de las mejores prácticas? He visto un artículo de MS que parece decir que usted debe utilizar Ejecutar Como, y no de inicio de sesión como administrador, pero no dan un ejemplo de una implementación y nunca he visto a nadie hacerlo.

28voto

Russ Wheeler Puntos 173

AFAIK, se considera la mejor práctica para el dominio de/a los administradores de red tienen una cuenta de usuario estándar para iniciar sesión en su estación de trabajo para realizar la rutina de "usuario" de las tareas (correo electrónico, documentación, etc.) y tener el nombre de una cuenta administrativa que tiene la pertenencia de grupo apropiado que les permita realizar tareas administrativas.

Este es el modelo que trate de seguir, aunque es difícil de implementar si el personal de TI no está acostumbrado a hacerlo de esta manera.

Personalmente, si puedo encontrar a un personal de TI que es reticente a avanzar en esta dirección que yo soy de la opinión de que son perezosos, sin experiencia, o que no entienden la práctica de la administración del sistema.

26voto

TheCleaner Puntos 22495

La "mejor Práctica" normalmente dicta LPU (con menos privilegios de usuario)...pero estás en lo correcto (como se ETL y Joe así que +1) que la gente rara vez siguen este modelo.

La mayoría de las recomendaciones son para hacer lo que te dicen...crear 2 cuentas y no compartir esas cuentas con los demás. Una cuenta no debe tener derechos de administrador, incluso en los locales de la estación de trabajo que utiliza en la teoría, pero una vez más que sigue esa regla, especialmente con UAC en estos días (que en teoría debe estar habilitado).

Hay varios factores de por qué quieres ir a esta ruta, aunque. Usted tiene que el factor de seguridad, comodidad, corp política, restricciones regulatorias (si los hubiera), riesgo, etc.

Mantener el Domain Admins y Administrators nivel de dominio de los grupos de bonito y limpio, con un mínimo de cuentas es siempre una buena idea. Pero no sólo comparten un dominio de administración de cuentas si se puede evitar. De lo contrario, existe un riesgo de que alguien está haciendo algo y, a continuación, señalar con el dedo entre los administradores de sistemas de "no fui yo la que se utiliza la cuenta". Mejor tener cuentas individuales o usar algo como CyberArk de la EPA para auditar correctamente.

Al final del día hay una razón por la que es llamada la "Mejor Práctica" y no "Sólo la Práctica"...no son aceptables las elecciones realizadas por los grupos basados en sus propias necesidades y filosofías sobre esto. Algunos (como dijo Joe) son simplemente la pereza...mientras que otros simplemente no les importa porque ellos no están interesados en conectar un agujero de seguridad cuando hay cientos ya y diaria para combatir incendios.

Referencias:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

12voto

Christopher Karel Puntos 4717

Esta es una mejor práctica por razones de seguridad. Como otros han mencionado, se le impide hacer algo accidental, o de conseguir comprometida, desde la navegación por la red. También limita los daños que su personal de la navegación se puede hacer, lo ideal es que tu trabajo del día a día no debería tener privilegios de administrador local, mucho menos de administrador de dominio.

También es muy útil para contrarrestar Pasar el Hash o símbolo de autenticación de Windows secuestra. (Ejemplo) Una adecuada penetración de la prueba de demostrar esto fácilmente. Es decir, una vez que un atacante obtiene acceso a una cuenta admin local, que va a usar ese poder para migrar a un proceso con un Dominio de Administración de token. Luego de que efectivamente tiene esos poderes.

Como un ejemplo de las personas que usan esta, de mi empresa! (200ish personas, 6 hombre ops equipo) De hecho, nuestros Administradores de Dominio tiene TRES cuentas. Uno para el uso diario, uno para la PC de la administración/instalación de software localmente. El tercero es el Dominio de Administración de cuentas, y se usa únicamente para la administración de servidores y el dominio. Si queremos ser más paranoico/secure, una cuarta probablemente estaría en orden.

7voto

En mi antigua empresa, he insistido en que todos los Administradores de sistemas tengo 2 cuentas, es decir:

  • DOMINIO\st19085
  • DOMINIO\st19085a ("a" para el admin)

Colegas eran reacios al principio, pero que se convirtió en una regla de oro, después de la típica pregunta acerca de la amenaza de virus "tenemos un antivirus" fue descartado por obsoleta en la base de datos de virus...

  • Como usted ha mencionado, las RUNAS comando podría ser utilizado (yo solía tener una secuencia de comandos por lotes, presentando un menú personalizado, el lanzamiento de tareas específicas con el comando "RUNAS").

  • Otra cosa es el uso de la Consola de Administración de Microsoft, puede guardar las herramientas que usted necesita y el lanzamiento de ellas con un clic derecho, Ejecutar Como... y su cuenta de Administrador de Dominio.

  • El último pero no menos importante, he utilizado el lanzamiento de un PowerShell shell como Administrador de Dominio, y el lanzamiento de las cosas que me necesitaban.

4voto

Katherine Villyard Puntos 10812

He trabajado en lugares que hacerlo de ambas maneras, y en general, prefieren tener una cuenta separada. De hecho es mucho más fácil de esa manera, contrariamente a lo que joeqwerty a regañadientes por los usuarios/clientes parecen pensar:

Ventajas de usar el normal, todos los días de la cuenta de administrador de dominio de las actividades: Yay, todas las herramientas administrativas de trabajo en mi estación de trabajo sin runas! W00t!

Contras de la utilización de su normal, todos los días de la cuenta de administrador de dominio de las actividades: el Miedo. ;) Escritorio tech le pide que mire una máquina porque él no puede averiguar lo que está mal con él, la sesión, que tiene un virus. Desconecte el cable de red, cambiar la contraseña (en otro lugar). Cuando los gerentes preguntar por qué usted no recibe su correo electrónico de trabajo en su blackberry a través de su proveedor de teléfono celular que usted consigue para explicar que no guarde su contraseña de ADMINISTRADOR de DOMINIO en sus servidores cuando haces eso. Etc., etc. Su altamente privilegiado contraseña se utiliza para cosas como... correo web, vpn, inicie la sesión en esta página web. (Ew.) (Para ser justos, mi cuenta fue bloqueada desde el "cambiar contraseña" de la página web, así que al menos la había. Si yo quería cambiar mi antigua contraseña LDAP, que la página web sincronizado, yo tendría que ir a un compañero de trabajo del escritorio.)

Ventajas de usar una cuenta de administrador de dominio de las actividades: la Intención. Que cuenta es la intención de las herramientas administrativas, etc., y no por correo electrónico, correo web, vpn, web inicios de sesión, etc. Así que, menos miedo que mi normal "usuario" actividades están exponiendo a todo el dominio de riesgo.

Desventajas de utilizar una cuenta de administrador de dominio de las actividades: tengo que usar runas de herramientas administrativas. Que no dolorosa.

El TL;DR versión: Tener una cuenta separada es simplemente más fácil. Es también la mejor práctica, ya que es menos necesario privilegio.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: