"모범 사례"는 일반적으로 LPU (최소 권한 사용자)를 지시하지만 사람들이이 모델을 거의 따르지 않는 것은 ETL 및 Joe와 마찬가지로 +1입니다.
2 개의 계정을 만들고 다른 사람과 공유하지 않는 것이 좋습니다. 하나의 계정에는 이론적으로 사용중인 로컬 워크 스테이션에 대한 관리자 권한이 없어야하지만 요즘에는 특히 UAC를 사용하여 해당 규칙을 따르는 사람이 있습니다 (이론적으로 사용하도록 설정되어 있어야 함).
이 경로를 가고 싶은 이유에는 여러 가지가 있습니다. 보안, 편의성, 회사 정책, 규제 제한 (있는 경우), 위험 등을 고려해야합니다.
지키는 Domain Admins
와 Administrators
최소한의 계정으로 도메인 수준 그룹의 친절하고 깨끗한 항상 좋은 아이디어이다. 그러나 일반적인 도메인 관리자 계정을 피할 수 있다면 공유하지 마십시오. 그렇지 않으면 누군가 무언가를하고 나서 sysadmins 사이에서 "그 계정을 사용한 사람이 아니 었습니다"라는 손가락을 가리킬 위험이 있습니다. 개별 계정을 보유하거나 CyberArk EPA와 같은 것을 사용하여 올바르게 감사하는 것이 좋습니다.
또한 이러한 행 Schema Admins
에서 스키마를 변경 한 다음 계정을 입력하고 변경하고 계정을 제거하지 않으면 그룹은 항상 비어 있어야합니다. Enterprise Admins
특히 단일 도메인 모델에서도 마찬가지 입니다.
또한 권한있는 계정이 네트워크에 VPN을 허용하지 않아야합니다. 일반 계정을 사용한 다음 필요에 따라 한 번 들어 올립니다.
마지막으로 권한있는 그룹을 감사하기 위해 SCOM 또는 Netwrix 또는 기타 다른 방법을 사용하고 해당 그룹의 구성원이 변경 될 때마다 IT의 해당 그룹에 알리십시오. 이렇게하면 "잠깐만 기다리세요. 왜 그렇게 갑자기 도메인 관리자입니까?"라고 말할 수 있습니다. 기타
하루가 끝날 무렵 "최상의 실습"이라고 불리는 이유가 있습니다. "실습 만"이 아닙니다. IT 그룹은 자체 요구 사항과 철학에 따라 적절한 선택을 할 수 있습니다. (Joe가 말한 것처럼) 일부는 단순히 게으르다 ... 다른 사람들은 이미 수백 건의 매일 화재가 발생할 때 하나의 보안 구멍을 막는 데 관심이 없기 때문에 신경 쓰지 않습니다. 그러나 이제이 모든 내용을 읽었으므로 선한 싸움에 맞서 싸울 수있는 일 중 하나를 고려하고 안전하게 지키십시오. :)
참고 문헌 :
http://www.microsoft.com/en-us/download/details.aspx?id=4868
http://technet.microsoft.com/en-us/library/cc700846.aspx
http://technet.microsoft.com/en-us/library/bb456992.aspx