Sollte ich mehrere Domänenadministratorkonten haben?

9

Ich arbeite in einer kleinen Organisation mit 2 Servern und 30 Clients. Wir sind vollständig Windows Server 2003 / XP. Neben mir benötigen der Director of Operations und unser IT-Beratungsunternehmen Zugriff auf ein Domänenadministratorkonto.

Sollten wir aus irgendeinem Grund mehrere Domänenadministratorkonten haben (Änderungsprotokollierung, Sicherheit oder auf andere Weise)? Gibt es Gründe, nicht mehrere Domain-Administratorkonten zu haben?

Helixso
quelle

Antworten:

24

Jeder Benutzer, der administrative Aktivitäten ausführt, sollte über ein dediziertes Konto verfügen, um diese Aktivitäten auszuführen. In einer Windows-Umgebung sollte für das integrierte Administratorkonto (RID 500) ein komplexes Kennwort festgelegt, gedruckt und für Notfälle in einem Safe usw. aufbewahrt werden.

Ein allgemeiner Grundsatz der Sicherheit lautet wie folgt: Sie möchten wissen, wer welche (in diesem Fall administrativen) Aktivitäten ausführt (dh einen Prüfpfad hat. Durch das Teilen von Konten wird dies aus dem Wasser geworfen.

Darüber hinaus möchten Sie in der Lage sein, den Zugriff einer Person im Falle einer Verletzung der Kennwortsicherheit, der Kündigung usw. zu sperren. Freigegebene Konten erfüllen diese Kriterien ebenfalls nicht.

Gemeinsame, häufig verwendete Konten jeglicher Art sollten als höchst zweifelhaft angesehen werden, aber gemeinsame Anmeldeinformationen für die Verwaltung sind immer schlecht.

Betreff: Windows-spezifische Überlegungen wie eingeschränkte Remotedesktop- / Terminaldienstverbindungen: Seien Sie Ihren Mitadministratoren gegenüber höflich und lassen Sie keine nicht verbundenen Sitzungen herumliegen. Ich habe festgestellt, dass sozialer Druck in kleinen Organisationen ziemlich gut funktioniert (dh ich erwähne häufig und laut die Tatsache, dass sich Administrator XXX nicht daran erinnert, Server abzumelden). Sie können die getrennten Sitzungen anderer Benutzer jederzeit starten, wenn Sie dies wirklich müssen. Ein Verbindungsversuch dauert möglicherweise 30 Sekunden. In einer größeren Organisation oder wenn es zu einem Hauptproblem wird, können Sie Zeitlimits für nicht verbundene Sitzungen implementieren.

Ein wenig beiseite, aber eines, das wahrscheinlich zum Thema gehört, seit Sie einen IT-Berater erwähnt haben: Als IT-Auftragnehmer fordere ich immer ein dediziertes Administrationskonto für mich an, und ich fordere, keine "gemeinsamen" Administrationsdaten zu kennen. Es schützt beide Parteien und bietet einen Prüfpfad. Ich möchte immer, dass meine Kunden das Gefühl haben, mich jederzeit "aussperren" zu können (und diese Fähigkeit auch tatsächlich zu haben), weil ich glaube, dass dies eine starke Botschaft aussendet, von der ich überzeugt bin, dass ich die Beziehung zu ihnen aufrechterhalten kann Sie basieren auf den Vorzügen meiner Fähigkeiten und dem Wert, den ich biete, und nicht auf einem vagen Gefühl, dass sie für mich "eingesperrt" sind.

Evan Anderson
quelle
1

Ein Grund, nicht über mehrere Konten zu verfügen:
Wenn Sie alles über den Remotedesktop verwalten, sind diese möglicherweise begrenzt. Wenn Benutzer die Remotedesktopsitzung nur schließen, ohne sich abzumelden, werden sie schnell gebunden.

Ein Grund für mehrere Konten:
Sie können sehen, wer wann angemeldet war, wenn etwas Schlimmes passiert. Wirklich, wenn Sie eine gute Teamumgebung haben, wird jeder, der etwas getan hat, es einfach zugeben.

Kyle Brandt
quelle
0

Evans Antwort ist gut. Denken Sie auch daran, dass Sie Ihr Administratorkonto nicht für die tägliche Arbeit verwenden sollten. Führen Sie Admin-Befehle immer mit Runas oder ähnlichem aus, wenn Sie etwas direkt auf Ihrer Workstation ausführen.

Für Dienstkonten können Sie auch die interaktive Anmeldung deaktivieren, um sie sicherer zu machen.

Ein letzter Punkt: Stellen Sie sicher, dass Sie die Sicherheitsüberwachung auf Ihren Servern aktivieren und dass das Sicherheitsereignisprotokoll groß genug ist (normalerweise habe ich es auf 20 MB oder mehr festgelegt).

AlexTEH
quelle