Answers:
每个执行管理活动的用户都应该有一个专用帐户来执行那些活动。在Windows环境中,内置的(RID 500)管理员帐户应具有复杂的密码设置,打印并锁定在保险箱中,以防紧急情况。
安全性的一般原则是这样的:您想知道谁在执行哪些活动(在这种情况下是管理性的)活动(即,进行审计跟踪。共享帐户会把这些活动彻底摧毁)。
此外,您希望能够在破坏密码安全性,终止等情况下切断个人的访问。共享帐户也不符合该条件。
任何类型的共享通用帐户的价值都应被视为高度可疑,但是共享的管理凭据始终是不好的。
回复:Windows特定的注意事项,例如有限的远程桌面/终端服务连接:对您的管理员保持礼貌,不要留下无所事事的会话。我发现社交压力在小型组织中相当有效(即经常大声地提到管理员XXX不记得注销服务器的事实)。如果确实需要,您始终可以启动其他用户断开连接的会话。可能会增加30秒的连接尝试时间。在较大的组织中,或者如果这成为主要问题,则可以考虑实现断开的会话超时。
稍微说一句,但自从您提到一位IT顾问以来,这很可能成为话题:作为IT承包商,我总是为自己申请一个专用的管理帐户,并且我要求不知道任何“共享的”管理凭据。它可以保护双方并提供审核跟踪。我一直希望我的客户感觉像他们可以在瞬间通知我“将我拒之门外”(并且实际上也具有这种能力),因为我相信它传达了一个强有力的信息,我对与我保持联系的能力充满信心它们是基于我的技能的优点和我提供的价值,而不是基于某种模糊的感觉,即它们“锁定”在我身上。
没有多个帐户的原因之一:
如果您使用远程桌面管理所有帐户,则可能会有限制。如果人们只是关闭远程桌面会话而没有注销,他们将很快陷入困境。
拥有多个帐户的原因:
如果发生不良情况,您可以查看谁登录。确实,如果您拥有良好的团队环境,那么做某件事的人都会承认。