"बेस्ट प्रैक्टिस" आमतौर पर एलपीयू (कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता) को निर्देशित करता है ... लेकिन आप सही हैं (जैसा कि ईटीएल और जोए +1 है) कि लोग शायद ही कभी इस मॉडल का पालन करते हैं।
अधिकांश सिफारिशें आपको बताई गई हैं ... 2 खाते बनाएं और उन खातों को दूसरों के साथ साझा न करें। एक खाते में आपके द्वारा सिद्धांत में उपयोग किए जा रहे स्थानीय वर्कस्टेशन पर भी अधिकार नहीं होने चाहिए, लेकिन फिर उस नियम का पालन करता है, विशेष रूप से इन दिनों UAC के साथ (जो सिद्धांत में सक्षम होना चाहिए)।
हालांकि आप इस मार्ग पर क्यों जाना चाहते हैं, इसके कई कारक हैं। आपको कारक सुरक्षा, सुविधा, कॉर्प पॉलिसी, नियामक प्रतिबंध (यदि कोई हो), जोखिम, आदि
Domain Admins
और Administrators
डोमेन स्तर के समूहों को न्यूनतम खातों के साथ अच्छा और साफ रखना हमेशा एक अच्छा विचार है। लेकिन अगर आप इससे बच सकते हैं तो बस सामान्य डोमेन व्यवस्थापक खाते साझा न करें। अन्यथा किसी के कुछ करने का जोखिम है और फिर "यह उस खाते का उपयोग करने वाला नहीं था" के sysadmins के बीच उंगली इंगित करता है। व्यक्तिगत खातों के लिए बेहतर है या इसे सही ढंग से ऑडिट करने के लिए CyberArk EPA जैसी किसी चीज़ का उपयोग करें।
इन पंक्तियों पर भी, आपका Schema Admins
समूह हमेशा EMPTY होना चाहिए जब तक कि आप स्कीमा में बदलाव नहीं कर रहे हैं और फिर आप खाते को डालते हैं, परिवर्तन करते हैं, और खाते को हटाते हैं। Enterprise Admins
विशेष रूप से एकल डोमेन मॉडल के लिए भी ऐसा ही कहा जा सकता है ।
आपको नेटवर्क में वीपीएन पर विशेषाधिकार प्राप्त खातों की भी अनुमति नहीं देनी चाहिए। एक सामान्य खाते का उपयोग करें और फिर आवश्यकतानुसार एक बार अंदर उठाएँ।
अंत में, आपको किसी भी विशेषाधिकार प्राप्त समूह के ऑडिट के लिए SCOM या नेटविक्स या किसी अन्य विधि का उपयोग करना चाहिए और जब भी इनमें से किसी भी समूह के सदस्य बदल गए हों, तब आईटी में उपयुक्त समूह को सूचित करें। यह आपको कहने के लिए एक सिर देगा "एक मिनट रुको, ऐसा क्यों है और अचानक एक डोमेन व्यवस्थापक?" आदि।
दिन के अंत में "बेस्ट प्रैक्टिस" कहा जाता है, न कि केवल "प्रैक्टिस" ... इस पर अपनी-अपनी जरूरतों और दर्शन के आधार पर आईटी समूहों द्वारा स्वीकार्य विकल्प हैं। कुछ (जैसे जो ने कहा) बस आलसी हैं ... जबकि दूसरों को बस परवाह नहीं है क्योंकि वे एक सुरक्षा छेद को प्लग करने में रुचि नहीं रखते हैं जब लड़ने के लिए पहले से ही सैकड़ों और दैनिक आग हो। हालाँकि, अब जब आप यह सब पढ़ चुके हैं, तो अपने आप को उन लोगों में से एक मानें जो अच्छी लड़ाई लड़ेंगे और वही करेंगे जो आप कर सकते हैं। :)
संदर्भ:
http://www.microsoft.com/en-us/download/details.aspx?id=4868
http://technet.microsoft.com/en-us/library/cc700846.aspx
http://technet.microsoft.com/en-us/library/bb456992.aspx