क्या डोमेन व्यवस्थापक के लिए एक डोमेन के लिए अलग लॉगिन होना सबसे अच्छा अभ्यास है?


33

मैं आमतौर पर अपने लिए अलग लॉगइन सेट करना पसंद करता हूं, एक नियमित उपयोगकर्ता अनुमतियों के साथ, और एक अलग प्रशासनिक कार्यों के लिए। उदाहरण के लिए, यदि डोमेन XXXX था, तो मैं XXXX \ bpeikes और XXXX \ adminbp खाता सेट करूंगा। मैंने हमेशा ऐसा किया है क्योंकि स्पष्ट रूप से मुझे खुद पर भरोसा नहीं है कि एक प्रशासक के रूप में लॉग इन किया जा सकता है, लेकिन हर जगह जो मैंने काम किया है, सिस्टम एडमिनिस्ट्रेटर सिर्फ अपने सामान्य खातों को डोमेन एडमिन ग्रुप में जोड़ते हैं।

क्या कोई सर्वोत्तम प्रथाएं हैं? मैंने MS से एक लेख देखा है जो यह कहता है कि आपको Run As का उपयोग करना चाहिए, और एक व्यवस्थापक के रूप में लॉगिन नहीं करना चाहिए, लेकिन वे कार्यान्वयन का उदाहरण नहीं देते हैं और मैंने कभी किसी और को ऐसा करते नहीं देखा है।


1
जैसा कि लिनक्स / यूनिक्स में मुख्य रूप से डील करता है और विंडोज विशेषज्ञ नहीं है, क्या यह ठीक नहीं है कि यूएसी को क्या तय करना चाहिए? जिससे मेरा मतलब है, ताकि कोई एक खाते का उपयोग कर सके लेकिन अभी भी केवल अधिकृत प्रक्रियाओं को ही प्रशासनिक विशेषाधिकार प्राप्त हैं।
Dolda2000

@ Dolda2000 UAC अपने स्थानीय मशीन पर व्यवस्थापक के रूप में चलने की आदत में अंत उपयोगकर्ताओं के लिए अधिक था। जब आप अपनी स्थानीय मशीन पर एक डोमेन व्यवस्थापक के रूप में चल रहे होते हैं तो अतिरिक्त चिंताएँ होती हैं - आपकी साख और पहुँच का उपयोग आपकी मशीन पर वायरस को स्थापित करने से बहुत बदतर के लिए किया जा सकता है, यह देखते हुए कि आपने किस तरह से अधिकांश चीजों को अधिकार प्राप्त किया है संपूर्ण डोमेन।
होपलेस

1
@ HopelessN00b: और आप कह रहे हैं कि यूएसी उन चीजों पर लागू नहीं होता है? क्यों नहीं? क्या तकनीकी कारण हैं, या कार्यान्वयन में केवल कमी है?
Dolda2000

2
@ Dolda2000 ठीक है, UAC को मैलवेयर के साथ समस्या को ठीक करना चाहिए था जो स्वयं को एंड-यूज़र्स और उपभोक्ताओं के पीसी पर स्थापित करने के लिए लॉग-ऑन प्रशासनिक उपयोगकर्ता के उपयोगकर्ता संदर्भ का उपयोग करने में सक्षम था। और यह करता है। यह उस विशिष्ट वेक्टर को स्थानीय रूप से मैलवेयर इंस्टॉल करने के लिए डोमेन व्यवस्थापक के उपयोगकर्ता संदर्भ का उपयोग करने से भी रोकता है, हालांकि, यह सीमित उपयोगकर्ता के बजाय डोमेन व्यवस्थापक के रूप में चलाने में शामिल सुरक्षा चिंताओं की सीमा नहीं है।
होपलेस

1
@ Dolda2000 UAC स्थानीय मशीन पर विशेषाधिकार प्राप्त कार्यों को निष्पादित करने से प्रक्रियाओं को रोकता है। यदि आप एक डोमेन व्यवस्थापक के रूप में लॉग इन हैं, तो आप अन्य मशीनों पर दूरस्थ रूप से विशेषाधिकार प्राप्त कमांड चला सकते हैं और वे UAC प्रॉम्प्ट के बिना दूरस्थ मशीनों पर एलिवेटेड चलेंगे। इस प्रकार विशेष रूप से इसका उपयोग करने के लिए डिज़ाइन किया गया मैलवेयर आपके पूरे डोमेन को संक्रमित कर सकता है (और फिर आपके स्थानीय मशीन को किसी अन्य दूरस्थ मशीन का उपयोग करके संक्रमित कर सकता है) बिना आपको यूएसी प्रॉम्प्ट देखे।
मॉन्स्टिएर

जवाबों:


25

"बेस्ट प्रैक्टिस" आमतौर पर एलपीयू (कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता) को निर्देशित करता है ... लेकिन आप सही हैं (जैसा कि ईटीएल और जोए +1 है) कि लोग शायद ही कभी इस मॉडल का पालन करते हैं।

अधिकांश सिफारिशें आपको बताई गई हैं ... 2 खाते बनाएं और उन खातों को दूसरों के साथ साझा न करें। एक खाते में आपके द्वारा सिद्धांत में उपयोग किए जा रहे स्थानीय वर्कस्टेशन पर भी अधिकार नहीं होने चाहिए, लेकिन फिर उस नियम का पालन करता है, विशेष रूप से इन दिनों UAC के साथ (जो सिद्धांत में सक्षम होना चाहिए)।

हालांकि आप इस मार्ग पर क्यों जाना चाहते हैं, इसके कई कारक हैं। आपको कारक सुरक्षा, सुविधा, कॉर्प पॉलिसी, नियामक प्रतिबंध (यदि कोई हो), जोखिम, आदि

Domain Adminsऔर Administratorsडोमेन स्तर के समूहों को न्यूनतम खातों के साथ अच्छा और साफ रखना हमेशा एक अच्छा विचार है। लेकिन अगर आप इससे बच सकते हैं तो बस सामान्य डोमेन व्यवस्थापक खाते साझा न करें। अन्यथा किसी के कुछ करने का जोखिम है और फिर "यह उस खाते का उपयोग करने वाला नहीं था" के sysadmins के बीच उंगली इंगित करता है। व्यक्तिगत खातों के लिए बेहतर है या इसे सही ढंग से ऑडिट करने के लिए CyberArk EPA जैसी किसी चीज़ का उपयोग करें।

इन पंक्तियों पर भी, आपका Schema Adminsसमूह हमेशा EMPTY होना चाहिए जब तक कि आप स्कीमा में बदलाव नहीं कर रहे हैं और फिर आप खाते को डालते हैं, परिवर्तन करते हैं, और खाते को हटाते हैं। Enterprise Adminsविशेष रूप से एकल डोमेन मॉडल के लिए भी ऐसा ही कहा जा सकता है ।

आपको नेटवर्क में वीपीएन पर विशेषाधिकार प्राप्त खातों की भी अनुमति नहीं देनी चाहिए। एक सामान्य खाते का उपयोग करें और फिर आवश्यकतानुसार एक बार अंदर उठाएँ।

अंत में, आपको किसी भी विशेषाधिकार प्राप्त समूह के ऑडिट के लिए SCOM या नेटविक्स या किसी अन्य विधि का उपयोग करना चाहिए और जब भी इनमें से किसी भी समूह के सदस्य बदल गए हों, तब आईटी में उपयुक्त समूह को सूचित करें। यह आपको कहने के लिए एक सिर देगा "एक मिनट रुको, ऐसा क्यों है और अचानक एक डोमेन व्यवस्थापक?" आदि।

दिन के अंत में "बेस्ट प्रैक्टिस" कहा जाता है, न कि केवल "प्रैक्टिस" ... इस पर अपनी-अपनी जरूरतों और दर्शन के आधार पर आईटी समूहों द्वारा स्वीकार्य विकल्प हैं। कुछ (जैसे जो ने कहा) बस आलसी हैं ... जबकि दूसरों को बस परवाह नहीं है क्योंकि वे एक सुरक्षा छेद को प्लग करने में रुचि नहीं रखते हैं जब लड़ने के लिए पहले से ही सैकड़ों और दैनिक आग हो। हालाँकि, अब जब आप यह सब पढ़ चुके हैं, तो अपने आप को उन लोगों में से एक मानें जो अच्छी लड़ाई लड़ेंगे और वही करेंगे जो आप कर सकते हैं। :)

संदर्भ:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx


कम-से-कम विशेषाधिकार ज्यादातर गैर-व्यवस्थापक खातों पर लागू होता है। क्रेडेंशियल पृथक्करण कम से कम निजी दृष्टिकोण से मदद नहीं करता है अगर क्रेड का उपयोग निचले निजीकृत क्रेडिट द्वारा समझौता किए गए गंदे सिस्टम पर किया जाता है।
जिम बी

सच है, लेकिन मैं "एलपीयू" का मतलब केवल विशेषाधिकार प्राप्त समूहों तक पहुंच प्रदान करना चाहता हूं। आईटी के बहुत सारे। केवल इसलिए डीए एक्सेस देना क्योंकि यह एक्सेस के लिए अनुरोधों के असंख्य से निपटने से अधिक आसान है।
क्लेरनर

28

AFAIK, डोमेन / नेटवर्क प्रशासकों के लिए सबसे अच्छा अभ्यास माना जाता है कि उनके कार्यस्थान पर लॉगिंग करने के लिए एक मानक उपयोगकर्ता खाता हो, जो रूटीन "उपयोगकर्ता" कार्य (ईमेल, प्रलेखन, आदि) करने के लिए और उपयुक्त नाम वाले प्रशासनिक खाते के लिए है। उन्हें प्रशासनिक कार्य करने की अनुमति देने के लिए समूह सदस्यता।

यह वह मॉडल है जिसका मैं अनुसरण करने की कोशिश करता हूं, हालांकि इसे लागू करना कठिन है अगर मौजूदा आईटी कर्मचारी इसे इस तरह से करने के लिए उपयोग नहीं करते हैं।

निजी तौर पर, अगर मुझे ऐसा लगता है कि इस दिशा में कदम रखने के लिए मैं एक आईटी स्टाफ ढूंढता हूं, तो मेरी राय है कि वे या तो आलसी, अनुभवहीन हैं, या वे सिस्टम प्रशासन के अभ्यास को नहीं समझते हैं।


12

सुरक्षा कारणों से यह एक सर्वोत्तम अभ्यास है। जैसा कि दूसरों ने उल्लेख किया है, यह आपको गलती से कुछ करने से रोकता है, या नेटवर्क ब्राउज़ करने से आपको समझौता करने से रोकता है। यह आपके व्यक्तिगत ब्राउज़िंग को होने वाले नुकसान को भी सीमित करता है - आदर्श रूप से, आपके दिन के काम के लिए स्थानीय व्यवस्थापक विशेषाधिकार भी नहीं होना चाहिए, बहुत कम डोमेन व्यवस्थापक।

यह पास हाश या विंडोज प्रमाणीकरण टोकन हाईजैक का मुकाबला करने के लिए अविश्वसनीय रूप से उपयोगी है । ( उदाहरण ) एक उचित पैठ परीक्षण यह आसानी से साबित होगा। अर्थात्, एक बार जब एक हमलावर स्थानीय व्यवस्थापक खाते तक पहुंच प्राप्त करता है, तो वे उस शक्ति का उपयोग एक डोमेन व्यवस्थापक टोकन के साथ एक प्रक्रिया में स्थानांतरित करने के लिए करेंगे। तब उनके पास प्रभावी रूप से वे शक्तियां होती हैं।

इसका उपयोग करने वाले लोगों के उदाहरण के लिए, मेरी कंपनी करती है! (200 लोग, 6 आदमी ऑप्स टीम) वास्तव में, हमारे डोमेन एडमिन्स के पास खाते हैं। रोजमर्रा के उपयोग के लिए एक, पीसी प्रशासन के लिए एक / स्थानीय रूप से सॉफ़्टवेयर स्थापित करना। तीसरा डोमेन व्यवस्थापक खाता है, और इसका उपयोग केवल सर्वर और डोमेन के प्रशासन के लिए किया जाता है। यदि हम अधिक पागल / सुरक्षित होना चाहते हैं, तो एक चौथाई क्रम में होगा।


तीन खाते ... दिलचस्प ... मुझे यह विचार करना होगा कि मेरी कंपनी में लूमिंग डोमेन परिवर्तन के लिए ...
पेपोलुआन

1
मेरी कंपनी में ही। सामान्य डेस्कटॉप-खाता, क्लाइंट कंप्यूटर पर स्थानीय व्यवस्थापक पहुँच और एक अलग सर्वर व्यवस्थापक खाते के लिए व्यवस्थापक खाता। दोनों व्यवस्थापक खातों को कोई ईमेल नहीं मिलता है और कोई इंटरनेट नहीं मिलता है। एक एकल समस्या यह है कि सर्वर-व्यवस्थापक खाते को कार्य केंद्र पर स्थानीय व्यवस्थापक अधिकारों की आवश्यकता होती है अन्यथा UAC स्थानीय रूप से RunAs के साथ MMC को सर्वर-व्यवस्थापक खाते के रूप में चलाने में हस्तक्षेप करता है। (RDP सर्वर का उपयोग कर सकते हैं और वहां से सब कुछ चला सकते हैं, लेकिन यह वास्तव में कई बार बाधा उत्पन्न करता है यदि आपको डेस्कटॉप-अकाउंट पर चलने वाले डेटा की प्रतिलिपि बनाने / पेस्ट करने या तुलना करने की आवश्यकता होती है।)
Tonny

हमने अपने डोमेन एड्मिन RDP को उनके प्रबंधन कार्य के लिए एक सर्वर में रखने के साथ बहुत अच्छा करने में कामयाब रहे हैं। कॉपी और पेस्ट वास्तव में आश्चर्यजनक रूप से आरडीपी के पार जाता है। और उस एकल सर्वर में हमारे सभी प्रबंधन उपयोगिताओं पहले से ही स्थापित हैं। लेकिन यह कहा जा रहा है ... मेरा मानना ​​है कि डोमेन एडमिन समूह को डिफ़ॉल्ट रूप से स्थानीय व्यवस्थापक अधिकार हैं। मैं सिर्फ उन क्रेडेंशियल्स को पसंद करता हूं, जो कभी भी डेस्कटॉप को छूते नहीं हैं, टोकन की चोरी और इस तरह से रोकने के लिए।
क्रिस्टोफर कारेल

8

मेरी पूर्व कंपनी में, मैंने जोर देकर कहा था कि सभी सिस्टम एडमिंस को 2 खाते मिले, अर्थात:

  • डोमेन \ st19085
  • DOMAIN \ st19085a ("a" व्यवस्थापन के लिए)

सहकर्मी पहले अनिच्छुक थे, लेकिन यह अंगूठे का एक नियम बन गया, वायरस के खतरे के बारे में विशिष्ट प्रश्न के बाद "हमें एक एंटीवायरस मिला" एक पुराने वायरस डेटाबेस द्वारा डीबंक किया गया था ...

  • जैसा कि आपने उल्लेख किया है, RUNAS कमांड का उपयोग किया जा सकता है (मेरे पास एक बैच स्क्रिप्ट होती थी, एक कस्टम मेनू प्रस्तुत करता है, RUNAS कमांड के साथ विशिष्ट कार्य लॉन्च करता है)।

  • एक और बात Microsoft प्रबंधन कंसोल का उपयोग है , आप अपनी ज़रूरत के टूल को सहेज सकते हैं और उन्हें राइट-क्लिक , रन अस ... और अपने डोमेन व्यवस्थापक खाते के साथ लॉन्च कर सकते हैं।

  • अंतिम लेकिन कम से कम नहीं, मैंने डोमेन व्यवस्थापक के रूप में एक पॉवरशेल शेल लॉन्च किया, और मुझे वहां से आवश्यक सामान लॉन्च किया।

6
यह अनिवार्य रूप से मेरे द्वारा उपयोग किए गए कार्यान्वयन (और हर किसी पर मजबूर) है हर जगह मैंने इसमें कहा है। आप अपने कंप्यूटर पर लॉग इन करते हैं और अपने रोजमर्रा के कामों को एक सामान्य उपयोगकर्ता की तरह करते हैं, बाकी सभी लोगों की तरह। जब आपको व्यवस्थापक अधिकारों की आवश्यकता होती है, तो आप Run As/ Run as Administratorऔर प्रशासनिक उपयोगकर्ता खाते का उपयोग करते हैं। सब कुछ के लिए बस एक खाते का उपयोग करना एक बुरा सुरक्षा अभ्यास है, और मेरे अनुभव में, जो लोग आपत्ति जताते हैं, उन्हें वैसे भी सब कुछ चलाने से अलग-थलग होना पड़ता है जैसे कि व्यवस्थापक।
होपलेसनब बी

+1 महान अवलोकन @ HopelessN00b द्वारा: "जो लोग आपत्ति करते हैं, वे लोग हैं, जिन्हें एडमिन के रूप में सब कुछ चलाने से अलग-थलग करने की आवश्यकता है"
mr.b

वास्तव में आपको एक अलग कार्य केंद्र का उपयोग करना चाहिए जो केवल व्यवस्थापक को चलाने के लिए बंद कर दिया गया है
जिम बी

4

मैंने उन स्थानों पर काम किया है जो इसे दोनों तरीके से करते हैं, और आम तौर पर एक अलग खाता होना पसंद करते हैं। यह वास्तव में एक बहुत आसान तरीका है, जो कि जॉयक्वेरी के अनिच्छुक उपयोगकर्ताओं / ग्राहकों के विपरीत लगता है:

डोमेन व्यवस्थापक गतिविधियों के लिए आपके सामान्य, हर दिन खाते का उपयोग करने के पेशेवरों: हाँ, सभी प्रशासनिक उपकरण बिना रन के मेरे कार्य केंद्र पर काम करते हैं! W00t!

डोमेन व्यवस्थापक गतिविधियों के लिए अपने सामान्य, हर दिन का उपयोग करने की विपक्ष: डर। ;) डेस्कटॉप टेक आपको एक मशीन को देखने के लिए कहता है क्योंकि वह यह पता नहीं लगा सकता है कि इसमें क्या गलत है, आप लॉग इन करते हैं, इसमें वायरस है। नेटवर्क केबल अनप्लग करें, पासवर्ड बदलें (कहीं और)। जब प्रबंधक आपसे पूछते हैं कि आपको अपने सेल फोन प्रदाता के माध्यम से आपके व्यक्तिगत ब्लैकबेरी पर अपना कार्य ईमेल क्यों नहीं मिलता है, तो आपको यह समझाने के लिए कि वे आपके सर्वर पर अपना DOMAIN ADMIN पासवर्ड स्टोर करते हैं जब आप ऐसा करते हैं। आदि, आपका अत्यधिक विशेषाधिकार प्राप्त पासवर्ड का उपयोग किया जाता है जैसे ... वेबमेल, वीपीएन, इस वेबपेज पर लॉग इन करें। (Ew।) (निष्पक्ष होने के लिए, मेरा खाता "अपना पासवर्ड बदलने के लिए" वेबपृष्ठ से अवरुद्ध किया गया था, इसलिए कम से कम वहाँ था। अगर मैं अपने पुराने एलडीएपी पासवर्ड को बदलना चाहता था, जिसे वेबपृष्ठ ने समन्वयित किया, तो मुझे जाना होगा। एक सहकर्मी की मेज पर।)

डोमेन व्यवस्थापक गतिविधियों के लिए एक अलग खाते का उपयोग करने के पेशेवरों: इरादे। उस खाते है इरादा प्रशासनिक उपकरण, आदि के लिए, और ईमेल, वेबमेल, वीपीएन, वेबपेज लॉगिन, आदि के लिए नहीं तो, कम डर है कि मेरे सामान्य "उपयोगकर्ता" गतिविधियों जोखिम को पूरे डोमेन उजागर कर रहे हैं।

डोमेन व्यवस्थापक गतिविधियों के लिए एक अलग खाते का उपयोग करने की विपक्ष: मुझे प्रशासनिक साधनों के लिए रन का उपयोग करना होगा। यह सिर्फ इतना दर्दनाक नहीं है।

टीएल; डीआर संस्करण: एक अलग खाता रखने के लिए सिर्फ सादा आसान है। यह सबसे अच्छा अभ्यास भी है, क्योंकि यह कम से कम आवश्यक विशेषाधिकार है


2

कम से कम लिटर प्रीव्यू पर्याप्त होना चाहिए, लेकिन अगर ऐसा नहीं है, तो इस बात पर भी विचार करें कि यदि आप अपने उपयोगकर्ताओं के समान अनुमतियों वाले किसी खाते का उपयोग करते हैं, तो आपके द्वारा किए जाने वाले किसी भी समस्या से ग्रस्त होने की अधिक संभावना है - और आप उन्हें अपने खाते पर डीबग कर सकते हैं भी - अक्सर इससे पहले कि वे भी उन्हें देखा है!

"यह मेरे लिए काम करता है" का कहना है कि एक व्यवस्थापक से बदतर कुछ भी नहीं है और टिकट बंद कर देता है :)


+1 यह पहचानने के लिए कि उपयोगकर्ता-स्तरीय खाते का दैनिक उपयोग समस्या निवारण प्रभावशीलता में सुधार करता है।
मैं कहता हूं कि मोनिका

1

सभी सिद्धांत में, यह सबसे अच्छा है कि आप अपने दिन-प्रतिदिन की गतिविधियों के लिए एक शीर्ष व्यवस्थापक लॉगऑन का उपयोग न करें। वायरस जैसे बहुत सारे कारण हैं - यदि आपको वायरस मिलता है और आप डोमेन एडमिन लॉगऑन चला रहे हैं, तो वायरस के पास आपके नेटवर्क पर पहुंचने का एक आसान तरीका है, पूर्ण पहुँच! संभव गलतियों को सुनिश्चित करना आसान है, लेकिन मैं इसे सबसे बड़ी चुनौती के रूप में नहीं देखता हूं। यदि आप अपने परिसर में घूमते हैं और अपने शीर्ष व्यवस्थापक के साथ लॉगऑन करते हैं, तो कोई व्यक्ति आपके पासवर्ड के लिए आपके कंधे को देख सकता है। हर तरह की चीजें।

लेकिन क्या यह व्यावहारिक है? मुझे उस नियम का पालन करना कठिन लगता है, लेकिन मैं इसका पालन करना चाहूंगा।


0

वास्तविक अनुभव के आधार पर मेरे 2 सेंट जोड़ना ।।

यह जानना और ध्यान में रखना कि आप अपने दैनिक कार्य के लिए एक व्यवस्थापक खाते का उपयोग कर रहे हैं, जो कुछ भी आप करते हैं, उस पर आपको बहुत सतर्क करता है। इसलिए आप केवल एक ईमेल / लिंक पर क्लिक नहीं करते हैं या केवल ट्रिपल चेकिंग के बिना किसी भी एप्लिकेशन को चलाते हैं। मुझे लगता है कि यह आपको अपने पैर की उंगलियों पर रखता है।

अपने दैनिक काम के लिए कम से कम विशेषाधिकार खाते का उपयोग करना एक लापरवाह बनाता है।


यह एक अच्छा सिद्धांत है, लेकिन मेरे अनुभव में यह काम नहीं करता है (कम से कम हर किसी के लिए नहीं)। मैंने देखा है कि सहकर्मियों ने बड़े पैमाने पर उत्पादन प्रणालियों के डेटा को गलतियों से हटा दिया है (एक कमांड लाइन में गलत जगह पर्याप्त है)।
जेराल्ड श्नाइडर

एक सिद्धांत नहीं है, हम इसे यहाँ अभ्यास करते हैं; मेरे अनुभव में ;-) आप अपने अनुभव से उन लोगों को आकर्षित करते हैं जिन्हें आप ऐसे विशेषाधिकार देंगे और न ही उन्हें पूछने के लिए सौंप देंगे।
बदबानाना
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.