La mia domanda riguarda l'emissione di diritti amministrativi per il personale dell'helpdesk in un'ampia impostazione di Active Directory.
Il personale dell'help desk richiede in genere diritti amministrativi per fornire supporto agli utenti finali. So che questo è comunemente fatto (vedi [1] [2 ] [3] ) creando un gruppo "Workstation Admins"
e aggiungendo quel gruppo al gruppo Administrators
locale su ciascun PC. Idealmente, lo staff dell'helpdesk utilizzerà un account con privilegi ridotti per le attività quotidiane e utilizzerà il loro account "Workstation Admins"
solo quando necessario.
Gli amministratori di sistema di solito fanno la stessa cosa e usano un account con privilegi più elevati quando accedono ai server. Questo ha senso perché i server sono macchine affidabili protette sia fisicamente che elettronicamente. Pertanto, l'accesso a un server con un account privilegiato è sostanzialmente sicuro.
Tuttavia, il personale dell'helpdesk accederà a macchine che probabilmente sono state lasciate incustodite e utilizzate per l'e-mail o la navigazione web quotidiana. Questi computer non possono essere considerati affidabili allo stesso modo dei server. È facile immaginare un membro del personale presso l'helpdesk che acceda a un computer che contiene un carico utile di malware che si diffonde immediatamente attraverso la rete perché ha diritti di amministratore su molti altri computer.
O peggio, un utente malintenzionato potrebbe eseguire una truffa di phishing nella vita reale avendo un keylogger sul proprio computer, quindi avere qualcuno dall'help desk accedere.
C'è un modo per fornire al personale dell'help desk l'accesso di cui hanno bisogno senza creare un rischio significativo? (Posso immaginare che una soluzione ideale utilizzi una password monouso per l'autenticazione, e l'utente connesso sarebbe autorizzato solo come amministratore locale. In altre parole, voglio che lo staff dell'helpdesk abbia accesso a QUALSIASI computer, non OGNI computer.