“最佳实践”通常会规定LPU(最低特权用户)...但是您是正确的(ETL和Joe均为+1),人们很少遵循此模型。
大多数建议是按照您所说的进行...创建2个帐户,而不与他人共享这些帐户。从理论上讲,即使在您正在使用的本地工作站上,一个帐户也不应具有管理员权限,但遵循该规则的用户又一次(尤其是最近使用UAC)(理论上应该启用)。
为什么要走这条路线有多个因素。您必须考虑安全性,便利性,公司政策,监管限制(如果有),风险等。
使用最少的帐户来保持Domain Admins
和Administrators
域级别的组的友好和整洁始终是一个好主意。但是,如果可以避免,不要简单地共享公共域管理员帐户。否则,有人可能会做某事,然后在系统管理员之间指责“使用该帐户的不是我”。最好拥有个人帐户或使用CyberArk EPA之类的工具对其进行正确审核。
同样,在这些行上,Schema Admins
除非对架构进行更改,然后将帐户放入,进行更改并删除帐户,否则您的组应始终为EMPTY。对于Enterprise Admins
单域模型尤其如此。
您也不应允许特权帐户通过VPN进入网络。使用普通帐户,然后根据需要升入内部帐户。
最后,您应该使用SCOM或Netwrix或其他方法来审计任何特权组,并在这些组的任何成员发生更改时通知IT中的适当组。这会让您抬起头来说“等等,为什么突然出现Domain Admin?等等
归根结底,有一个原因叫它“最佳实践”而不是“唯一实践” ... IT小组根据他们自己的需求和理念做出了可接受的选择。有些人(如乔所说)只是懒惰……而其他人根本不在乎,因为当已经有数百人每天发生火灾时,他们对插入一个安全漏洞并不感兴趣。但是,既然您已经阅读了所有这些内容,那么请考虑将自己视为将打一场好战,并尽一切努力确保事情安全的人之一。:)
参考文献:
http://www.microsoft.com/zh-cn/download/details.aspx?id=4868
http://technet.microsoft.com/zh-CN/library/cc700846.aspx
http://technet.microsoft.com/zh-CN/library/bb456992.aspx