Come dovremmo configurare gli amministratori di dominio?

3

Siamo una piccola azienda che sta crescendo abbastanza velocemente. Per molto tempo c'erano 2 di noi che erano amministratori di dominio. Ma negli ultimi 2 anni questo è aumentato a 6 persone e questo mi sembra una cattiva idea man mano che cresciamo ulteriormente.

La causa diretta della mia query è questa domanda . Questa soluzione richiede che gli amministratori del dominio che impostano i diritti di accesso siano pienamente affidabili. E che solo quelle persone affidabili possono impostare la politica che limita l'impostazione di questi diritti di accesso alle 2 persone.

Quindi, supponiamo di avere 2 persone che sono al 100% affidabili che hanno i diritti di amministratore di dominio completi. Ma queste 2 persone eseguiranno raramente il vero lavoro di amministrazione del dominio, solo le cose che vogliamo specificamente limitare solo a loro.

Per un'azienda di 50 - 200 persone, esiste un modo comune / consigliato per configurarlo? Quanto è meglio fare questo e quali sono i diritti generalmente limitati alle 2 persone completamente fidate?

    
posta David Thielen 05.11.2015 - 00:37
fonte

2 risposte

1

Una possibile soluzione:

  • hanno due account amministrativi
    • uno di questi ha una password casuale che viene scritta, sigillata e conservata in un luogo sicuro fuori dalla portata degli amministratori
    • l'altro può essere utilizzato solo se autenticazione a due fattori , uno degli amministratori ottiene la password e l'altro - il certificato
  • imposta account con privilegi per le normali operazioni amministrative, condivisa tra questi amministratori (e altro, se necessario) insieme a un solido controllo.

Ora hai una situazione in cui

  • le normali attività di amministrazione sono gestite da persone selezionate, ciò che fanno è tracciato e non possono modificare questi log
  • le attività di amministrazione eccezionali vengono gestite contemporaneamente dai due amministratori, quando sono insieme
  • in casi eccezionali può accedere alla cassastrong / banca, ottenere la busta sigillata e accedere a un account amministratore a tutti gli effetti.

Devi tenere conto dei disastri (qualcuno o alcune persone non sono disponibili) e degli scenari di cospirazione (i due amministratori lavorano insieme contro di te)

    
risposta data 06.11.2015 - 14:55
fonte
0

Se sei una piccola azienda, 2 amministratori di dominio dovrebbero essere ampi.

La descrizione di Domain Admins da Technet è: -

Members of this group have full control of the domain. By default, this group is a member of the Administrators group on all domain controllers, all domain workstations, and all domain member servers at the time they are joined to the domain. By default, the Administrator account is a member of this group. Because the group has full control in the domain, add users with caution.

Source: https://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx

Quel tipo di controllo sembra eccessivo, quindi quello che devi veramente fare è avere un controllo, come una piccola impresa informale. Basta elencare chi richiede i diritti su cosa, perché e assegnarli in modo appropriato. Inizia da un principio di "minimo privilegio": ognuno è un utente "normale" e quali sono i diritti aggiuntivi necessari per portare a termine il proprio lavoro.

Ad esempio: - potresti voler che qualcuno sia in grado di cambiare le password ma non installare il software o svolgere altre attività amministrative, puoi Delega controllo delle password senza concedere altri diritti.

    
risposta data 06.11.2015 - 15:56
fonte

Leggi altre domande sui tag