क्या डोमेन व्यवस्थापक के लिए एक डोमेन के लिए अलग लॉगिन होना सबसे अच्छा अभ्यास है?

मैं आमतौर पर अपने लिए अलग लॉगइन सेट करना पसंद करता हूं, एक नियमित उपयोगकर्ता अनुमतियों के साथ, और एक अलग प्रशासनिक कार्यों के लिए। उदाहरण के लिए, यदि डोमेन XXXX था, तो मैं XXXX \ bpeikes और XXXX \ adminbp खाता सेट करूंगा। मैंने हमेशा ऐसा किया है क्योंकि स्पष्ट रूप से मुझे खुद पर भरोसा नहीं है कि एक प्रशासक के रूप में लॉग इन किया जा सकता है, लेकिन हर जगह जो मैंने काम किया है, सिस्टम एडमिनिस्ट्रेटर सिर्फ अपने सामान्य खातों को डोमेन एडमिन ग्रुप में जोड़ते हैं।

क्या कोई सर्वोत्तम प्रथाएं हैं? मैंने MS से एक लेख देखा है जो यह कहता है कि आपको Run As का उपयोग करना चाहिए, और एक व्यवस्थापक के रूप में लॉगिन नहीं करना चाहिए, लेकिन वे कार्यान्वयन का उदाहरण नहीं देते हैं और मैंने कभी किसी और को ऐसा करते नहीं देखा है।

"बेस्ट प्रैक्टिस" आमतौर पर एलपीयू (कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता) को निर्देशित करता है ... लेकिन आप सही हैं (जैसा कि ईटीएल और जोए +1 है) कि लोग शायद ही कभी इस मॉडल का पालन करते हैं।

अधिकांश सिफारिशें आपको बताई गई हैं ... 2 खाते बनाएं और उन खातों को दूसरों के साथ साझा न करें। एक खाते में आपके द्वारा सिद्धांत में उपयोग किए जा रहे स्थानीय वर्कस्टेशन पर भी अधिकार नहीं होने चाहिए, लेकिन फिर उस नियम का पालन करता है, विशेष रूप से इन दिनों UAC के साथ (जो सिद्धांत में सक्षम होना चाहिए)।

हालांकि आप इस मार्ग पर क्यों जाना चाहते हैं, इसके कई कारक हैं। आपको कारक सुरक्षा, सुविधा, कॉर्प पॉलिसी, नियामक प्रतिबंध (यदि कोई हो), जोखिम, आदि

Domain Adminsऔर Administratorsडोमेन स्तर के समूहों को न्यूनतम खातों के साथ अच्छा और साफ रखना हमेशा एक अच्छा विचार है। लेकिन अगर आप इससे बच सकते हैं तो बस सामान्य डोमेन व्यवस्थापक खाते साझा न करें। अन्यथा किसी के कुछ करने का जोखिम है और फिर "यह उस खाते का उपयोग करने वाला नहीं था" के sysadmins के बीच उंगली इंगित करता है। व्यक्तिगत खातों के लिए बेहतर है या इसे सही ढंग से ऑडिट करने के लिए CyberArk EPA जैसी किसी चीज़ का उपयोग करें।

इन पंक्तियों पर भी, आपका Schema Adminsसमूह हमेशा EMPTY होना चाहिए जब तक कि आप स्कीमा में बदलाव नहीं कर रहे हैं और फिर आप खाते को डालते हैं, परिवर्तन करते हैं, और खाते को हटाते हैं। Enterprise Adminsविशेष रूप से एकल डोमेन मॉडल के लिए भी ऐसा ही कहा जा सकता है ।

आपको नेटवर्क में वीपीएन पर विशेषाधिकार प्राप्त खातों की भी अनुमति नहीं देनी चाहिए। एक सामान्य खाते का उपयोग करें और फिर आवश्यकतानुसार एक बार अंदर उठाएँ।

अंत में, आपको किसी भी विशेषाधिकार प्राप्त समूह के ऑडिट के लिए SCOM या नेटविक्स या किसी अन्य विधि का उपयोग करना चाहिए और जब भी इनमें से किसी भी समूह के सदस्य बदल गए हों, तब आईटी में उपयुक्त समूह को सूचित करें। यह आपको कहने के लिए एक सिर देगा "एक मिनट रुको, ऐसा क्यों है और अचानक एक डोमेन व्यवस्थापक?" आदि।

दिन के अंत में "बेस्ट प्रैक्टिस" कहा जाता है, न कि केवल "प्रैक्टिस" ... इस पर अपनी-अपनी जरूरतों और दर्शन के आधार पर आईटी समूहों द्वारा स्वीकार्य विकल्प हैं। कुछ (जैसे जो ने कहा) बस आलसी हैं ... जबकि दूसरों को बस परवाह नहीं है क्योंकि वे एक सुरक्षा छेद को प्लग करने में रुचि नहीं रखते हैं जब लड़ने के लिए पहले से ही सैकड़ों और दैनिक आग हो। हालाँकि, अब जब आप यह सब पढ़ चुके हैं, तो अपने आप को उन लोगों में से एक मानें जो अच्छी लड़ाई लड़ेंगे और वही करेंगे जो आप कर सकते हैं। :)

संदर्भ:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

AFAIK, डोमेन / नेटवर्क प्रशासकों के लिए सबसे अच्छा अभ्यास माना जाता है कि उनके कार्यस्थान पर लॉगिंग करने के लिए एक मानक उपयोगकर्ता खाता हो, जो रूटीन "उपयोगकर्ता" कार्य (ईमेल, प्रलेखन, आदि) करने के लिए और उपयुक्त नाम वाले प्रशासनिक खाते के लिए है। उन्हें प्रशासनिक कार्य करने की अनुमति देने के लिए समूह सदस्यता।

यह वह मॉडल है जिसका मैं अनुसरण करने की कोशिश करता हूं, हालांकि इसे लागू करना कठिन है अगर मौजूदा आईटी कर्मचारी इसे इस तरह से करने के लिए उपयोग नहीं करते हैं।

निजी तौर पर, अगर मुझे ऐसा लगता है कि इस दिशा में कदम रखने के लिए मैं एक आईटी स्टाफ ढूंढता हूं, तो मेरी राय है कि वे या तो आलसी, अनुभवहीन हैं, या वे सिस्टम प्रशासन के अभ्यास को नहीं समझते हैं।

सुरक्षा कारणों से यह एक सर्वोत्तम अभ्यास है। जैसा कि दूसरों ने उल्लेख किया है, यह आपको गलती से कुछ करने से रोकता है, या नेटवर्क ब्राउज़ करने से आपको समझौता करने से रोकता है। यह आपके व्यक्तिगत ब्राउज़िंग को होने वाले नुकसान को भी सीमित करता है - आदर्श रूप से, आपके दिन के काम के लिए स्थानीय व्यवस्थापक विशेषाधिकार भी नहीं होना चाहिए, बहुत कम डोमेन व्यवस्थापक।

यह पास हाश या विंडोज प्रमाणीकरण टोकन हाईजैक का मुकाबला करने के लिए अविश्वसनीय रूप से उपयोगी है । ( उदाहरण ) एक उचित पैठ परीक्षण यह आसानी से साबित होगा। अर्थात्, एक बार जब एक हमलावर स्थानीय व्यवस्थापक खाते तक पहुंच प्राप्त करता है, तो वे उस शक्ति का उपयोग एक डोमेन व्यवस्थापक टोकन के साथ एक प्रक्रिया में स्थानांतरित करने के लिए करेंगे। तब उनके पास प्रभावी रूप से वे शक्तियां होती हैं।

इसका उपयोग करने वाले लोगों के उदाहरण के लिए, मेरी कंपनी करती है! (200 लोग, 6 आदमी ऑप्स टीम) वास्तव में, हमारे डोमेन एडमिन्स के पास खाते हैं। रोजमर्रा के उपयोग के लिए एक, पीसी प्रशासन के लिए एक / स्थानीय रूप से सॉफ़्टवेयर स्थापित करना। तीसरा डोमेन व्यवस्थापक खाता है, और इसका उपयोग केवल सर्वर और डोमेन के प्रशासन के लिए किया जाता है। यदि हम अधिक पागल / सुरक्षित होना चाहते हैं, तो एक चौथाई क्रम में होगा।

मेरी पूर्व कंपनी में, मैंने जोर देकर कहा था कि सभी सिस्टम एडमिंस को 2 खाते मिले, अर्थात:

• डोमेन \ st19085
• DOMAIN \ st19085a ("a" व्यवस्थापन के लिए)

सहकर्मी पहले अनिच्छुक थे, लेकिन यह अंगूठे का एक नियम बन गया, वायरस के खतरे के बारे में विशिष्ट प्रश्न के बाद "हमें एक एंटीवायरस मिला" एक पुराने वायरस डेटाबेस द्वारा डीबंक किया गया था ...

• जैसा कि आपने उल्लेख किया है, RUNAS कमांड का उपयोग किया जा सकता है (मेरे पास एक बैच स्क्रिप्ट होती थी, एक कस्टम मेनू प्रस्तुत करता है, RUNAS कमांड के साथ विशिष्ट कार्य लॉन्च करता है)।

• एक और बात Microsoft प्रबंधन कंसोल का उपयोग है , आप अपनी ज़रूरत के टूल को सहेज सकते हैं और उन्हें राइट-क्लिक , रन अस ... और अपने डोमेन व्यवस्थापक खाते के साथ लॉन्च कर सकते हैं।

• अंतिम लेकिन कम से कम नहीं, मैंने डोमेन व्यवस्थापक के रूप में एक पॉवरशेल शेल लॉन्च किया, और मुझे वहां से आवश्यक सामान लॉन्च किया।

मैंने उन स्थानों पर काम किया है जो इसे दोनों तरीके से करते हैं, और आम तौर पर एक अलग खाता होना पसंद करते हैं। यह वास्तव में एक बहुत आसान तरीका है, जो कि जॉयक्वेरी के अनिच्छुक उपयोगकर्ताओं / ग्राहकों के विपरीत लगता है:

डोमेन व्यवस्थापक गतिविधियों के लिए आपके सामान्य, हर दिन खाते का उपयोग करने के पेशेवरों: हाँ, सभी प्रशासनिक उपकरण बिना रन के मेरे कार्य केंद्र पर काम करते हैं! W00t!

डोमेन व्यवस्थापक गतिविधियों के लिए अपने सामान्य, हर दिन का उपयोग करने की विपक्ष: डर। ;) डेस्कटॉप टेक आपको एक मशीन को देखने के लिए कहता है क्योंकि वह यह पता नहीं लगा सकता है कि इसमें क्या गलत है, आप लॉग इन करते हैं, इसमें वायरस है। नेटवर्क केबल अनप्लग करें, पासवर्ड बदलें (कहीं और)। जब प्रबंधक आपसे पूछते हैं कि आपको अपने सेल फोन प्रदाता के माध्यम से आपके व्यक्तिगत ब्लैकबेरी पर अपना कार्य ईमेल क्यों नहीं मिलता है, तो आपको यह समझाने के लिए कि वे आपके सर्वर पर अपना DOMAIN ADMIN पासवर्ड स्टोर करते हैं जब आप ऐसा करते हैं। आदि, आपका अत्यधिक विशेषाधिकार प्राप्त पासवर्ड का उपयोग किया जाता है जैसे ... वेबमेल, वीपीएन, इस वेबपेज पर लॉग इन करें। (Ew।) (निष्पक्ष होने के लिए, मेरा खाता "अपना पासवर्ड बदलने के लिए" वेबपृष्ठ से अवरुद्ध किया गया था, इसलिए कम से कम वहाँ था। अगर मैं अपने पुराने एलडीएपी पासवर्ड को बदलना चाहता था, जिसे वेबपृष्ठ ने समन्वयित किया, तो मुझे जाना होगा। एक सहकर्मी की मेज पर।)

डोमेन व्यवस्थापक गतिविधियों के लिए एक अलग खाते का उपयोग करने के पेशेवरों: इरादे। उस खाते है इरादा प्रशासनिक उपकरण, आदि के लिए, और ईमेल, वेबमेल, वीपीएन, वेबपेज लॉगिन, आदि के लिए नहीं तो, कम डर है कि मेरे सामान्य "उपयोगकर्ता" गतिविधियों जोखिम को पूरे डोमेन उजागर कर रहे हैं।

डोमेन व्यवस्थापक गतिविधियों के लिए एक अलग खाते का उपयोग करने की विपक्ष: मुझे प्रशासनिक साधनों के लिए रन का उपयोग करना होगा। यह सिर्फ इतना दर्दनाक नहीं है।

टीएल; डीआर संस्करण: एक अलग खाता रखने के लिए सिर्फ सादा आसान है। यह सबसे अच्छा अभ्यास भी है, क्योंकि यह कम से कम आवश्यक विशेषाधिकार है ।

कम से कम लिटर प्रीव्यू पर्याप्त होना चाहिए, लेकिन अगर ऐसा नहीं है, तो इस बात पर भी विचार करें कि यदि आप अपने उपयोगकर्ताओं के समान अनुमतियों वाले किसी खाते का उपयोग करते हैं, तो आपके द्वारा किए जाने वाले किसी भी समस्या से ग्रस्त होने की अधिक संभावना है - और आप उन्हें अपने खाते पर डीबग कर सकते हैं भी - अक्सर इससे पहले कि वे भी उन्हें देखा है!

"यह मेरे लिए काम करता है" का कहना है कि एक व्यवस्थापक से बदतर कुछ भी नहीं है और टिकट बंद कर देता है :)

सभी सिद्धांत में, यह सबसे अच्छा है कि आप अपने दिन-प्रतिदिन की गतिविधियों के लिए एक शीर्ष व्यवस्थापक लॉगऑन का उपयोग न करें। वायरस जैसे बहुत सारे कारण हैं - यदि आपको वायरस मिलता है और आप डोमेन एडमिन लॉगऑन चला रहे हैं, तो वायरस के पास आपके नेटवर्क पर पहुंचने का एक आसान तरीका है, पूर्ण पहुँच! संभव गलतियों को सुनिश्चित करना आसान है, लेकिन मैं इसे सबसे बड़ी चुनौती के रूप में नहीं देखता हूं। यदि आप अपने परिसर में घूमते हैं और अपने शीर्ष व्यवस्थापक के साथ लॉगऑन करते हैं, तो कोई व्यक्ति आपके पासवर्ड के लिए आपके कंधे को देख सकता है। हर तरह की चीजें।

लेकिन क्या यह व्यावहारिक है? मुझे उस नियम का पालन करना कठिन लगता है, लेकिन मैं इसका पालन करना चाहूंगा।

वास्तविक अनुभव के आधार पर मेरे 2 सेंट जोड़ना ।।

यह जानना और ध्यान में रखना कि आप अपने दैनिक कार्य के लिए एक व्यवस्थापक खाते का उपयोग कर रहे हैं, जो कुछ भी आप करते हैं, उस पर आपको बहुत सतर्क करता है। इसलिए आप केवल एक ईमेल / लिंक पर क्लिक नहीं करते हैं या केवल ट्रिपल चेकिंग के बिना किसी भी एप्लिकेशन को चलाते हैं। मुझे लगता है कि यह आपको अपने पैर की उंगलियों पर रखता है।

अपने दैनिक काम के लिए कम से कम विशेषाधिकार खाते का उपयोग करना एक लापरवाह बनाता है।