Ho 69 amministratori in AD e ho notato che stanno facendo tutti i tipi di cose whacky (e non attendibili).
Questo è un incubo di controllo e mi chiedevo se esiste un modo per disattivare un amministratore, ad esempio, ogni lunedì e mercoledì?
So che stai cercando qualcosa di integrato in AD, ma una cosa che ti viene in mente è custom Provider di credenziali (ovvero sostituire la schermata di login di Windows con una schermata personalizzata e aggiungere ulteriore logica sull'accettazione o meno del nome utente / password).
Se riesci a capire come programmarlo, puoi applicarlo; Jane può accedere solo il martedì e il sabato. Fred può accedere solo a una luna piena. John può accedere solo mentre Maria non è contrassegnata come "In una riunione". Qualunque sia.
Costruire il proprio è probabilmente fuori discussione, ma scommetterei che c'è un venditore là fuori che vende un fornitore di credenziali che farà programmi.
Personalmente definirei la situazione (come detto) come: "La diga è esplosa e la città è inondata da 3 piedi d'acqua." Dove posso comprare i mop? " Sembra che tu abbia un problema molto più grande delle tue mani che limitare l'accesso dei tuoi amministratori a determinati giorni.
Limita le persone che hanno diritti di amministratore per coloro che sono stati addestrati nelle politiche e nelle procedure della tua azienda e rimuovono coloro che violano la politica. Ciò significa che è necessario avere politiche e procedure e la volontà del management di imporla.
Ed è qui che indovino che la diga è esplosa.
Se non hai né politiche né supporto gestionale, allora penso che puoi mettere da parte il tuo desiderio di limiti amministrativi. È tempo di iniziare a costruire quella diga per proteggere la città.
Stai provando a risolvere un problema che è molto, molto chiaramente umano con una tecnologia ingenua. Qualcuno che fa "cose folli" in un giorno in cui non sono in servizio come amministratore non può semplicemente essere considerato attendibile perché è martedì pomeriggio ora e sono in servizio .
Anche se limitare l'accesso nei momenti in cui non è necessario sembra certamente una cosa aggiuntiva ragionevole, hai amministratori non affidabili sul tuo annuncio.
La soluzione a ciò non è restrittiva quando fanno cose cattive. Li impedisce di fare cose cattive o di educarli a non fare tali cose e ristabilire la fiducia.
Se non ti fidi dei tuoi amministratori, hai bisogno di amministratori migliori, non meno tempo in cui possono fare del male.
Una cosa ragionevole da fare non sarebbe limitare i tempi a cui hanno accesso, ma controllare più attentamente ciò che possono fare. Ad esempio, potresti avere qualcuno che ha ottenuto ruoli di amministratore nell'AD perché è il loro lavoro aggiungere nuovi account utente per nuovi assunti. Dare loro il diritto di aggiungere utenti amministratori, eliminare utenti, aggiungere macchine, modificare le politiche sull'AD è assolutamente inutile. Quindi, togli questi diritti da loro. Ciò può essere fatto tramite mezzi tecnologici, o tramite mezzi di risorse umane.
Leggi altre domande sui tag active-directory account-security