항상 관리자로 로그인하기가 좋지 않습니까?

내가 일하는 사무실에서 IT 직원의 다른 세 명 중 한 명이 도메인 관리자 그룹의 구성원 인 계정으로 항상 컴퓨터에 로그인합니다.

로컬 또는 도메인의 관리자 권한으로 로그인하는 것에 대해 심각한 우려가 있습니다. 따라서 일상적인 컴퓨터 사용에는 정기적 인 사용자 권한이있는 계정을 사용합니다. 또한 도메인 관리자 그룹의 일부인 다른 계정이 있습니다. 내 컴퓨터, 서버 중 하나 또는 다른 사용자 컴퓨터에서 높은 권한을 필요로하는 작업이 필요할 때이 계정을 사용합니다.

가장 좋은 방법은 무엇입니까? 네트워크 관리자는 항상 전체 네트워크 (또는 그 문제에 대한 로컬 컴퓨터)에 대한 권한으로 로그인해야합니까?

절대 모범 사례는 Live User, Work Root 입니다. 5 분마다 서버 오류에서 새로 고침을 수행 할 때 로그인 한 사용자는 일반 사용자 여야합니다. Exchange 라우팅 문제를 진단하는 데 사용하는 것은 Admin이어야합니다. Windows에서는 최소한 이중 로그인 세션이 필요하고 어떤 방식 으로든 두 대의 컴퓨터를 의미하기 때문에 이러한 구분을 얻는 것은 어려울 수 있습니다.

• VM 은이 작업을 잘 수행하므로 해결하는 방법입니다.
• 내부에서 호스팅하는 특정 특수 VM에 대해 높은 계정을 로그인 제한하는 조직에 대해 들었습니다. 관리자는 액세스를 위해 RDP에 의존합니다.
• UAC는 관리자가 수행 할 수있는 작업 (특수 프로그램에 액세스)을 제한하는 데 도움이되지만, 계속해서 프롬프트를 표시하면 다른 컴퓨터 전체에 원격으로 설치하여 필요한 작업을 수행하는 것만 큼 성 가실 수 있습니다.

이것이 최선의 방법 인 이유는 무엇입니까? 부분적으로 내가 그렇게 말했기 때문에 많은 사람들이 그렇게하기 때문 입니다. SysAdminning에는 어떤 종류의 결정적인 방법으로 모범 사례를 설정하는 중앙 기관이 없습니다. 지난 10 년 동안 우리는 IT 보안 모범 사례를 발표하여 실제로 필요한 경우에만 높은 권한을 사용한다고 제안했습니다. 모범 사례 중 일부는 지난 40 년 이상 동안 sysadmins의 경험을 통해 설정됩니다. LISA 1993의 논문 ( link ), SANS의 예제 논문 ( link , PDF), SANS의 '중요한 보안 통제'의 섹션이 이것 ( link ) 에 닿습니다 .

이 도메인은 Windows 도메인이므로 사용중인 계정이 모든 워크 스테이션에 대한 완전한 네트워크 액세스 권한을 가지고있을 가능성이 있으므로 문제가 발생하면 몇 초 안에 네트워크를 통과 할 수 있습니다. 첫 번째 단계는 모든 사용자가 최소 사용자 액세스 원칙에 따라 일상적인 작업, 웹 탐색, 문서 작성 등을 수행하도록하는 것입니다 .

그런 다음 도메인 계정을 만들고 모든 워크 스테이션 (PC-admin)에 대한 계정 관리자 권한과 서버 관리자 작업 (server-admin)에 대한 별도의 도메인 계정을 부여합니다. 서버가 서로 통신 할 수있는 것이 염려되면 각 컴퓨터마다 개별 계정을 가질 수 있습니다 (<x> -admin, <y> -admin). 도메인 관리 작업을 실행하기 위해 다른 계정을 사용해보십시오.

이렇게하면 PC 관리자 계정으로 손상된 워크 스테이션에서 무언가를하고 있고 네트워크를 통해 다른 컴퓨터를 가져 오려고 관리자 권한을 가질 가능성이 있다면 아무 것도 할 수 없습니다. 서버에 불쾌합니다. 이 계정이 있으면 개인 데이터에 아무런 작업도 수행 할 수 없습니다.

그러나 한 곳에서 직원들이 LUA 원칙과 함께 일한 곳을 알면서도 3 년 동안 적절한 바이러스 감염이 없었습니다. 같은 장소에있는 로컬 부서의 모든 직원과 서버 관리자의 IT 직원이 여러 번 발생했으며 그 중 하나는 네트워크를 통한 감염 확산으로 인해 1 주일의 IT 시간이 소요되었습니다.

설정하는 데 약간의 시간이 걸리지 만 문제가 발생하면 잠재적 인 절약 효과는 엄청납니다.

별도의 작업에 대한 별도의 계정이 가장 좋은 방법입니다. 최소 권한의 원칙은 게임의 이름입니다. "admin"계정 사용을 "admin"으로 수행해야하는 작업으로 제한하십시오.

Windows와 * nix의 의견은 다소 다르지만 도메인 관리자에 대한 언급을 통해 Windows에 대해 이야기하고 있다고 생각하므로 이것이 내가 대답하는 맥락입니다.

워크 스테이션에서는 일반적으로 관리자 일 필요가 없으므로 대부분의 경우 질문에 대한 대답은 아니오입니다. 그러나 많은 예외가 있으며 실제로 사람이 기계에서 수행하는 작업에 따라 다릅니다.

서버에서는 많은 논란의 주제입니다. 내 자신의 견해는 관리 작업을 수행하기 위해 서버에만 로그온한다는 것이므로 사용자로 로그온 한 다음 run-as를 사용하여 각 개별 도구를 실행하는 것은 의미가 없습니다. 당신이 아는 것과 대부분의 직업에서 그것은 단순히 관리자의 삶을 지나치게 어렵고 시간 소모적으로 만듭니다. 대부분의 Windows 관리 작업은 GUI 도구를 사용하여 수행되기 때문에 명령 줄에서 작업하는 Linux 관리자에게는 안전하지 않은 정도가 있습니다. 간단한 오타가 지난 밤의 백업 테이프를 요구할 수 있습니다.

내 인생은 간단합니다 ... 계정 이름이 뚜렷하게 지정되어 있으며 모두 다른 암호를 가지고 있습니다.

신 계정-모든 서버 측 작업을 수행하는 도메인 관리자

PC를 관리하기위한 demigod 계정-공유 / 서버에 대한 권한이 없음-PC에만 해당

미숙 한 사용자-내 자신의 PC에서 고급 사용자에게 권한을 부여하지만 다른 PC에서는 이러한 권한이 없습니다.

분리의 이유는 많습니다. 논쟁이 없어야합니다. 그냥 그렇게하십시오!

지옥으로 표결 될 위험이 있으므로 관리자의 작업 흐름에 따라 다릅니다. 개인적으로 직장에서 작업중인 대부분의 작업은 해당 관리자 자격 증명이 필요합니다. 도메인 관리 도구, 타사 관리 콘솔, 매핑 된 드라이브, 명령 줄 원격 액세스 도구, 스크립트 등과 같은 기본 제공 기능이 제공됩니다. 거의 모든 단일 항목에 대해 자격 증명을 입력해야하는 것은 악몽입니다.

일반적으로 관리자 권한이 필요하지 않은 것은 웹 브라우저, 전자 메일 클라이언트, IM 클라이언트 및 PDF 뷰어뿐입니다. 로그인 할 때부터 로그 아웃 할 때까지는 대부분 열려 있습니다. 따라서 관리자 자격 증명으로 로그인 한 다음 개인 정보가 낮은 개인 계정으로 모든 개인 정보가 낮은 앱을 실행합니다. 훨씬 덜 번거롭고 안전하다고 생각하지 않습니다.