답변:
관리 활동을 수행하는 각 사용자에게는 해당 활동을 수행하기위한 전용 계정이 있어야합니다. Windows 환경에서는 기본 제공 (RID 500) 관리자 계정에 긴급 상황에 대비하여 복잡한 암호를 설정, 인쇄 및 금고 등으로 잠가 두어야합니다.
일반적인 보안 원칙은 다음과 같습니다. 누가 (이 경우 관리자) 활동을 수행하고 있는지 (예 : 감사 내역이 있는지) 알고 싶습니다. 계정을 공유하면 물에서 빠져 나옵니다.
또한 암호 보안, 종료 등을 위반하는 경우 개인의 액세스를 차단할 수 있기를 원합니다. 공유 계정도 해당 기준을 충족하지 않습니다.
모든 유형의 공유 공용 계정은 가치가 매우 의심스러운 것으로 간주되지만 공유 관리 자격 증명은 항상 좋지 않습니다.
re : 제한된 원격 데스크톱 / 터미널 서비스 연결과 같은 Windows 고유의 고려 사항 : 동료 관리자에게 신중한 태도를 취하고 불분명 한 세션을 방치하지 마십시오. 소규모 조직에서는 사회적 압력이 상당히 잘 작용한다는 것을 알았습니다 (즉, 관리자 XXX가 서버를 로그 오프하는 것을 기억하지 못한다는 사실을 자주 그리고 큰 소리로 언급 함). 필요한 경우 다른 사용자의 연결이 끊긴 세션을 항상 부팅 할 수 있습니다. 연결 시도에 30 초가 추가 될 수 있습니다. 대규모 조직에서 또는 중대한 문제가되는 경우 연결이 끊긴 세션 시간 초과를 구현하는 것을 고려할 수 있습니다.
IT 컨설턴트를 언급 한 이래로 한 가지 중요한 주제가 될 것입니다. IT 계약자로서 저는 항상 전담 관리 계정을 요청하며, "공유"관리 자격 증명을 알 필요는 없습니다. 두 당사자를 보호하고 감사 내역을 제공합니다. 나는 항상 고객이 한 순간에 "나를 잠글"수있는 것처럼 느끼고 (그리고 실제로 그 능력도 가지고 있다고 생각하기를 바랍니다) 그들은 내 기술의 장점과 내가 제공 한 가치에 기반을두고 있으며, 그들이 내게 "고착되어있다"는 모호한 느낌이 아니라.