我应该有多个域管理员帐户吗？

Question

我在一个有2个服务器和30个客户的小型组织中工作。我们完全是Windows 2003/XP。除了我，运营总监和我们的IT咨询公司需要访问一个域管理员帐户。

出于任何原因(更改日志记录、安全性或其他原因)，我们是否应该拥有多个域管理员帐户？是否有理由不拥有多个域管理帐户？

Answer 1

每个执行管理活动的用户都应该有一个专门的帐户来执行这些活动。在Windows环境中，内置(RID 500)管理员帐户应该有一个复杂的密码设置、打印和锁定在保险箱中，以防万一。

安全的一般原则是这样的:您想知道谁在执行哪些(本例中是管理的)活动(即具有审计跟踪)。分享账户会把它从水里吹出来。

此外，您希望能够在密码安全、终止等被破坏的情况下切断个人的访问权限。共享帐户也不符合这一标准。

任何类型的共享、通用帐户都应该被认为价值非常可疑，但是共享管理凭据总是不好的。

重新:Windows-特殊的考虑因素，如有限的远程桌面/终端服务连接:对您的同事们要随随便便，不要留下分散的会议。我发现，社会压力在小型组织中运行得相当好(例如，经常大声地提到管理员XXX不记得注销服务器这一事实)。如果真的需要的话，您总是可以关闭其他用户的断开连接的会话。它可能会给连接尝试增加30秒。在更大的组织中，或者如果它成为一个主要问题，您可能会考虑实现断开连接的会话超时。

抛开一点，但这可能是一个话题，因为你提到了IT顾问:作为IT承包商，我自己总是要求为自己设立一个专用的管理帐户，我要求不知道任何“共享”的管理凭据。它保护双方，并提供审计跟踪。我总是想让我的客户觉得他们可以在接到通知的时候“把我锁在外面”(而且实际上也有这种能力)，因为我相信这会传递出一个强有力的信息:我相信我有能力根据我的技能和价值来维持与他们的关系，而不是基于他们对我“被困”的模糊感觉。

Answer 2

没有多个账户的原因之一是：

如果使用远程桌面管理所有内容，则可能对这些限制。如果人们只是关闭远程桌面会话，而不注销，他们将很快被捆绑。

拥有多个帐户的原因如下：

如果有什么不好的事情发生，你可以看到是谁登录的。尽管如此，如果你有一个良好的团队环境，无论谁做了什么，都会承认这一点。

Answer 3

埃文的回答很好。还请记住，您不应该使用您的管理帐户的日常工作-始终运行管理命令与runas或类似的，如果您是直接运行在您的工作站。

对于服务帐户，还可以禁用交互式登录以使其更安全。

最后一点，确保在服务器上打开安全审核，并确保安全事件日志足够大(我通常将其设置为20 to或更多)。