仅从域管理帐户过渡

Question

在我们的Windows环境中，域管理员只有一个用户帐户。这个单一的用户帐户是全面使用的，包括在日常工作站上运行。在我们脱离这个实践的过渡中，我们正在寻找关于如何设置域管理员的最佳实践。

显而易见的第一步是默认使用低权限帐户，并根据需要升级应用程序。由于这是我们第一次移动到这个设置，我们不知道我们应该寻找什么东西，我们应该做什么改变。在更广泛的范围内，这对我们作为SharePoint管理员有什么影响？办公室365名管理员？等等。

外面有什么资源，或者你能提供什么？

Answer 1

我将采取相反的策略@TheCleaner。

这些域管理帐户的密码哈希可能正在你的网络周围，只是等待一个传递的哈希方案。因此，我建议您立即从Domain中删除这些帐户，并开始将它们作为有限的用户使用。(您还应该更改密码。)

这种方法还具有明显的优点，不需要任何配置文件“巫毒”，并且希望不会更改对资源的任何权限，比如主目录，因为主目录本来应该有用户的名称。这也保存了大量的邮箱。

创建新的域管理成员帐户，其登录限制仅限于域控制器计算机。除了登录到域控制器计算机以限制其密码哈希的公开外，这些帐户不应用于其他任何事情。

这将是一个艰难的转变，您将遇到一些在客户端计算机上工作的事情，这仅仅是因为您的用户帐户是本地“管理员”组的隐式成员。通过使用另一个组嵌套(例如，“前域管理员”)来授予这些帐户本地管理员权限，您可能会让这个药丸更容易下咽。最终，你也会想要远离这一切的。

Answer 2

这里是我的快速recommendation...since，您可以轻松地在这里“向后”工作，以得到您想要的东西。

1. 将AD中的现有帐户重命名为“Mark”。更改其显示名称和用户登录名(用户名)。SID将保持不变，所以本质上就像某人从娘家转到已婚的名字一样。任何地方的所有权限等等都保持不变。
2. 创建它们中的每一个新的低特权帐户，现在称为"Mark“(不管它们过去习惯使用的普通用户名是什么)。将这些帐户权限授予它们的主文件夹和/或此普通帐户需要访问的其他权限。您还需要通过Exchange/电子邮件系统信息(电子邮件地址等)进行传输。从老到这个帐户也是。请记住，如果您不使用SSO，它们的电子邮件地址可能被用作O365或其他门户的登录信息。
3. 删除"Mark-Admin“不再需要访问的权限(如果有的话)。
4. 使用工作站上的ForensIT配置文件向导这样的工具将他们的配置文件从旧的SID (现在是Mark用户名)迁移到他们的新SID (Mark用户名)--...giving返回他们的桌面/配置文件/等等，就好像他们总是在那个帐户上使用它一样。
5. 对于不提供SSO的登录/身份验证门户(可能是您的O365、Sharepoint等)然后你需要以某种方式更新这些。例如，对于O365，如果您没有与AD同步，那么您需要直接更新它，要么创建一个新帐户，要么修改现有帐户的权限。这将基于您的设置。例如，如果他们目前正在使用电子邮件地址登录，那么该地址显然会转移到他们的低权限帐户(Mark)，您需要为Mark-Admin设置一个不同的地址。
6. 利润