为域管理员单独登录一个域是最佳实践吗？

我通常喜欢为自己设置单独的登录名，一个具有常规用户权限的登录名，以及一个用于管理任务的单独登录名。例如，如果域是XXXX，我将设置一个XXXX \ bpeikes和一个XXXX \ adminbp帐户。我一直这样做是因为坦率地说我不信任自己以管理员身份登录，但是在我工作过的每个地方，系统管理员似乎都只是将其通常的帐户添加到Domain Admins组中。

有没有最佳做法？我看过MS上的一篇文章，该文章似乎说您应该使用“运行方式”，而不是以管理员身份登录，但是他们没有提供实现示例，而且我从未见过其他人这样做。

“最佳实践”通常会规定LPU（最低特权用户）...但是您是正确的（ETL和Joe均为+1），人们很少遵循此模型。

大多数建议是按照您所说的进行...创建2个帐户，而不与他人共享这些帐户。从理论上讲，即使在您正在使用的本地工作站上，一个帐户也不应具有管理员权限，但遵循该规则的用户又一次（尤其是最近使用UAC）（理论上应该启用）。

为什么要走这条路线有多个因素。您必须考虑安全性，便利性，公司政策，监管限制（如果有），风险等。

使用最少的帐户来保持Domain Admins和Administrators域级别的组的友好和整洁始终是一个好主意。但是，如果可以避免，不要简单地共享公共域管理员帐户。否则，有人可能会做某事，然后在系统管理员之间指责“使用该帐户的不是我”。最好拥有个人帐户或使用Cyber​​Ark EPA之类的工具对其进行正确审核。

同样，在这些行上，Schema Admins除非对架构进行更改，然后将帐户放入，进行更改并删除帐户，否则您的组应始终为EMPTY。对于Enterprise Admins单域模型尤其如此。

您也不应允许特权帐户通过VPN进入网络。使用普通帐户，然后根据需要升入内部帐户。

最后，您应该使用SCOM或Netwrix或其他方法来审计任何特权组，并在这些组的任何成员发生更改时通知IT中的适当组。这会让您抬起头来说“等等，为什么突然出现Domain Admin？等等

归根结底，有一个原因叫它“最佳实践”而不是“唯一实践” ... IT小组根据他们自己的需求和理念做出了可接受的选择。有些人（如乔所说）只是懒惰……而其他人根本不在乎，因为当已经有数百人每天发生火灾时，他们对插入一个安全漏洞并不感兴趣。但是，既然您已经阅读了所有这些内容，那么请考虑将自己视为将打一场好战，并尽一切努力确保事情安全的人之一。:)

参考文献：

http://www.microsoft.com/zh-cn/download/details.aspx?id=4868

http://technet.microsoft.com/zh-CN/library/cc700846.aspx

http://technet.microsoft.com/zh-CN/library/bb456992.aspx

AFAIK，对于域/网络管理员来说，拥有一个标准用户帐户来登录其工作站以执行例行的“用户”任务（电子邮件，文档等），并拥有一个具有适当名称的管理帐户被认为是最佳实践。组成员身份以允许他们执行管理任务。

这是我尝试遵循的模型，尽管如果现有的IT员工不习惯这种方式很难实现，则很难实现。

就个人而言，如果我发现IT人员不愿朝这个方向发展，我认为他们要么是懒惰，缺乏经验，要么是他们不了解系统管理的实践。

出于安全原因，这是最佳做法。正如其他人提到的那样，它可以防止您意外地做某事，或防止您因浏览网络而受到损害。它还限制了您的个人浏览可能造成的损害-理想情况下，您的日常工作甚至不应该具有本地管理员权限，更不用说域管理员了。

对抗传递哈希或Windows身份验证令牌劫持也非常有用。（示例）适当的渗透测试将很容易证明这一点。即，一旦攻击者获得对本地管理员帐户的访问权限，他们将使用该功能将其迁移到具有Domain Admin令牌的进程中。然后他们有效地拥有那些权力。

至于使用此工具的人的例子，我公司就是这样做的！（200人，6人操作小组）实际上，我们的域管理员拥有-三个-帐户。一种用于日常使用，一种用于本地PC管理/安装软件。第三个是Domain Admin帐户，仅用于管理服务器和域。如果我们想变得更加偏执/安全，那么应该有四分之一的时间。

在我以前的公司中，我坚持要求所有系统管理员都拥有2个帐户，即：

• DOMAIN \ st19085
• DOMAIN \ st19085a（对于管理员，“ a”表示）

最初，同事们不太愿意，但是在有关病毒威胁的一个典型问题“我们得到了防病毒软件”被过时的病毒数据库揭穿之后，它成为了一个经验法则。

• 如您所述，可以使用RUNAS命令（我曾经有一个批处理脚本，提供一个自定义菜单，并使用RUNAS命令启动特定任务）。

• 另一件事是使用Microsoft管理控制台，您可以保存所需的工具，然后右键单击，运行方式...和您的Domain Admin帐户启动它们。

• 最后但并非最不重要的一点是，我曾经以Domain Admin的身份启动PowerShell Shell，然后从那里启动所需的东西。

我曾经在这两种方式都做过工作，并且通常更喜欢拥有一个单独的帐户。这样实际上要容易得多，这与joeqwerty的勉强用户/客户似乎认为的相反：

每天使用普通帐户进行域管理员活动的优点：是的，所有管理工具都可以在我的工作站上运行而无需运行符！W00t！

使用日常帐户进行域管理员活动的缺点：恐惧。;）台式机技术要求您查看计算机，因为他无法弄清楚计算机出了什么问题，您登录后发现该计算机感染了病毒。拔下网络电缆，更改密码（其他地方）。当经理问您为什么您无法通过手机提供商在个人黑莓手机上收到您的工作电子邮件时，您会解释说，这样做时他们将DOMAIN ADMIN密码存储在服务器上。等等。您的高特权密码用于诸如... webmail，vpn，在此网页上登录之类的事情。（Ew。）（为公平起见，我的帐户无法访问“更改密码”网页，所以至少是那样。如果我想更改网页同步的旧LDAP密码，则必须到同事的桌子上。）

使用其他帐户进行域管理员活动的优点：目的。该帐户是打算为管理工具等，而不是电子邮件，网络邮件，VPN，网页登录等，所以不太担心，我正常的“用户”活动暴露于风险整个域。

使用其他帐户进行域管理活动的缺点：我必须将runas用于管理工具。那不是那么痛苦。

TL; DR版本：拥有一个单独的帐户非常容易。 这也是最佳实践，因为它是最不必需的特权。

最低权限应该有足够的理由，但如果不是这样，还请考虑一下，如果您使用的帐户具有与用户相同的权限，则您很可能会遇到他们所遇到的任何问题，并且可以使用自己的帐户进行调试也是如此-通常在他们还没有看到它们之前！

没什么比管理员说“对我有用”并关闭票证更糟糕的了:)

从所有理论上讲，最好不要在日常活动中使用高级管理员登录。有很多原因，例如病毒-如果您感染了病毒，并且正在运行Domain Admin登录，则该病毒可以通过一种简单的方法进入您的网络，实现完全访问！可能的错误更容易确定，但我不认为这是最大的挑战。如果您绕过校园并以高级管理员身份登录，则可能有人在找您找密码。诸如此类的事情。

但是实用吗？我发现很难遵循该规则，但我想遵循它。

根据实际经验加上我的2美分。

知道并知道自己在日常工作中使用的是管理员帐户，这使您在执行任何操作时都非常谨慎。因此，您不仅可以单击电子邮件/链接，也可以运行任何应用程序而无需三重检查。我认为这会让您保持警惕。

在您的日常工作中使用最低特权帐户会使一个人变得粗心。