Должен ли я иметь несколько учетных записей администратора домена?

Я работаю в небольшой организации с 2 серверами и 30 клиентами. Мы полностью Windows Server 2003 / XP. Кроме меня, операционному директору и нашей ИТ-консалтинговой компании необходим доступ к учетной записи администратора домена.

Должны ли мы иметь несколько учетных записей администраторов домена по какой-либо причине (регистрация изменений, безопасность или иное)? Есть ли причины не иметь несколько учетных записей администратора домена?

Каждый пользователь, выполняющий административные действия, должен иметь отдельную учетную запись для выполнения этих действий. В среде Windows встроенная учетная запись администратора (RID 500) должна иметь сложный пароль, установленный, распечатанный и заблокированный в сейфе и т. Д. На случай чрезвычайных ситуаций.

Общий принцип безопасности выглядит следующим образом: вы хотите знать, кто выполняет какие (административные, в данном случае) действия (т. Е. Имеет контрольный журнал. Совместное использование учетных записей выбрасывает это из воды).

Кроме того, вы хотите иметь возможность отключить доступ отдельного лица в случае нарушения безопасности пароля, прекращения и т. Д. Общие учетные записи также не соответствуют этим критериям.

Общие общие учетные записи любого типа следует рассматривать как весьма сомнительные по стоимости, но общие учетные данные администратора всегда неверны.

re: Специфичные для Windows соображения, такие как ограниченные подключения к удаленному рабочему столу / службам терминалов: будьте любезны со своими коллегами-администраторами и не оставляйте дисконтированные сеансы без проблем Я обнаружил, что социальное давление довольно хорошо работает в небольших организациях (то есть часто и громко упоминает тот факт, что администратор XXX не помнит о выходе из серверов). Вы всегда можете загрузить отключенные сеансы других пользователей, если это действительно необходимо. Это добавляет, может быть, 30 секунд к попытке подключения. В более крупной организации, или если это становится серьезной проблемой, вы можете рассмотреть возможность использования отключенных тайм-аутов сеансов.

Немного в стороне, но, вероятно, по теме, так как вы упомянули ИТ-консультанта: сам я, как ИТ-подрядчик, всегда запрашиваю выделенную учетную запись администратора и не требую никаких «общих» учетных данных администратора. Он защищает обе стороны и обеспечивает аудиторский след. Я всегда хочу, чтобы мои клиенты чувствовали, что они могут «заблокировать меня» в любой момент (и на самом деле также обладают этой способностью), потому что я считаю, что это посылает мощное сообщение о том, что я уверен в своей способности поддерживать отношения с они основаны на достоинствах моих навыков и ценности, которую я придаю, а не на каком-то смутном ощущении, что они «заперты» для меня.

Одна из причин не иметь несколько учетных записей:
если вы управляете всем с помощью удаленного рабочего стола, у вас может быть ограничение на эти учетные записи . Если люди просто закроют сеанс удаленного рабочего стола без выхода из системы, они будут быстро связаны.

Причина наличия нескольких учетных записей:
вы можете видеть, кто вошел в систему, если что-то плохое случится. Правда, если у вас хорошая командная среда, тот, кто что-то сделал, просто признается в этом.

Эван отвечает хорошо. Также помните, что вы не должны использовать свою учетную запись администратора для повседневной работы - всегда запускайте команды администратора с runas или аналогичными, если вы запускаете что-то прямо на своей рабочей станции.

Для учетных записей служб вы также можете отключить интерактивный вход в систему, чтобы сделать их более безопасными.

И последнее: убедитесь, что вы включили аудит безопасности на своих серверах и убедитесь, что журнал событий безопасности достаточно большой (я обычно устанавливаю его на 20 МБ или больше)