在我工作的办公室,IT员工的其他三名成员始终使用属于域管理员组成员的帐户登录到他们的计算机.
我非常担心使用管理员权限(本地或域名)登录.因此,对于日常计算机使用,我使用的帐户只有普通的用户privelages.我还有一个不同的帐户,是域管理员组的一部分.当我需要在我的计算机,服务器之一或其他用户的计算机上执行需要提升特权的操作时,我会使用此帐户.
这里的最佳做法是什么?网络管理员是否应该始终拥有对整个网络的权限(甚至是他们的本地计算机)?
绝对最佳实践是Live User,Work Root.您每5分钟在服务器故障上点击刷新时登录的用户应该是普通用户.用于诊断Exchange路由问题的那个应该是Admin.获得这种分离可能很困难,因为在
Windows中,至少它需要双重登录会话,这意味着两台计算机在某种程度上.
原文链接:https://www.f2er.com/windows/370776.html>虚拟机对此非常有效,这就是我解决它的方法.
>我听说组织将其提升的帐户登录限制为内部托管的某些特殊虚拟机,管理员依靠RDP进行访问.
> UAC有助于限制管理员可以执行的操作(访问特殊程序),但持续提示可能同样需要远程连接到整个其他计算机以执行需要的操作.
为什么这是最好的做法?部分是because I said so,其他很多. SysAdminning没有一个以任何确定的方式设置最佳实践的中心机构.在过去十年中,我们已经发布了一些IT安全最佳实践,建议您在实际需要时只使用提升的权限.在过去的40年里,一些最佳实践是通过系统管理员的经验来确定的.来自SANS(link,PDF)的一份来自LANS 1993(link)的论文,来自SANS“关键安全控制”的部分内容(link).
