web-dev-qa-db-ja.com

ドメイン管理者用にドメインに個別のログインを設定することはベストプラクティスですか?

私は通常、自分用に個別のログインを設定し、1つは通常のユーザー権限を、もう1つは管理タスク用に設定します。たとえば、ドメインがXXXXの場合、XXXX\bpeikesとXXXX\adminbpアカウントを設定します。私は率直に言って、自分が管理者としてログインすることを信用していないので、いつもそれを行ってきましたが、私が働いたすべての場所で、システム管理者は通常のアカウントをDomain Adminsグループに追加しているようです。

ベストプラクティスはありますか?管理者としてログインするのではなく、Run Asを使用する必要があると表示されているように見えるMSの記事を見ましたが、それらは実装の例を示しておらず、他の誰かがそれを行うのを見たことがありません。

active-directorysecuritydomain-controllerbest-practices
33
Benjamin Peikes

「ベストプラクティス」は通常、LPU(最小特権ユーザー)を指示します...しかし、あなたが正しい(ETLとJoeが+1である)ので、このモデルをほとんど使用しません。

ほとんどの推奨事項は、あなたが言うように行うことです... 2つのアカウントを作成し、それらのアカウントを他のユーザーと共有しないでください。理論的には、使用しているローカルワークステーションに対しても1つのアカウントに管理者権限を付与するべきではありませんが、特にUAC(最近では理論的には有効にする必要があります)の場合は、そのルールに従うユーザーが必要です。

ただし、このルートを使用する理由はいくつかあります。セキュリティ、利便性、企業ポリシー、規制による制限(ある場合)、リスクなどを考慮に入れる必要があります。

Domain AdminsおよびAdministratorsドメインレベルグループを最小限のアカウントで適切に維持することは、常に良い考えです。ただし、回避できる場合は、一般的なドメイン管理者アカウントを共有しないでください。そうしないと、誰かが何かをして、システム管理者の間で「そのアカウントを使用したのは私ではなかった」という指を指す危険性があります。個別のアカウントを持っているか、Cyber​​Ark EPAなどを使用して正しく監査することをお勧めします。

また、これらの行では、スキーマに変更を加えてからアカウントを挿入して変更を加え、アカウントを削除しない限り、Schema Adminsグループは常にEMPTYである必要があります。同じことは、Enterprise Adminsについても特に単一ドメインモデルで言えます。

また、ネットワークへのVPNへの特権アカウントを許可しないでください。通常のアカウントを使用し、必要に応じて内部で一度昇格します。

最後に、特権グループを監査するためにSCOMまたはNetwrixまたはその他の方法を使用し、これらのグループのメンバーのいずれかが変更されたときにITの適切なグループに通知する必要があります。これにより、「ちょっと待ってください、なぜ突然ドメイン管理者がそうなるのですか」と言うことができます。等.

結局のところ、それが「ベストプラクティス」ではなく「ベストプラクティス」と呼ばれる理由があります。ITグループは、自分たちのニーズと哲学に基づいて許容できる選択を行います。いくつかは(ジョーが言ったように)単に怠惰です...一方、他の人は、何百ものすでにそして毎日の火事が戦うときに1つのセキュリティホールを塞ぐことに興味がないので、単に気にしません。ただし、これをすべて読んだので、良い戦いと戦い、安全を確保するためにできることをする1人と考えてください。 :)

参照:

http://www.Microsoft.com/en-us/download/details.aspx?id=4868

http://technet.Microsoft.com/en-us/library/cc700846.aspx

http://technet.Microsoft.com/en-us/library/bb456992.aspx

25
TheCleaner

私の知る限り、ドメイン/ネットワーク管理者は、ワークステーションにログオンして日常の「ユーザー」タスク(電子メール、ドキュメントなど)を実行するための標準ユーザーアカウントを持ち、適切な名前の管理アカウントを持つことがベストプラクティスと考えられています。管理タスクを実行できるようにするグループメンバーシップ。

これは私が従おうとしているモデルですが、既存のITスタッフがこの方法でそれを行うことに慣れていない場合、実装するのは困難です。

個人的に、私がこの方向に移動するのに消極的であるITスタッフを見つけた場合、私は彼らが怠惰で、経験が浅いか、またはシステム管理の慣行を理解していないと思います。

28
joeqwerty

これは、セキュリティ上の理由からのベストプラクティスです。他の人が述べたように、それはあなたが誤って何かをしたり、ネットワークを閲覧することから危険にさらされることを防ぎます。また、パーソナルブラウジングによる被害を制限します-理想的には、日常の仕事にローカル管理者の特権を与えてはならず、ドメイン管理者をはるかに少なくする必要があります。

Pass the Hash またはWindows認証トークンのハイジャックに対抗することも非常に便利です。 ( )適切な侵入テストはこれを簡単に証明します。つまり、攻撃者がローカル管理者アカウントにアクセスすると、その権限を使用してドメイン管理者トークンを持つプロセスに移行します。それから彼らはそれらの力を効果的に持っています。

これを使っている人の例としては、私の会社がやっています! (200人の人々、6人の運用チーム)実際、ドメイン管理者は-THREE-アカウントを持っています。 1つは日常使用用、もう1つはPC管理/ローカルでのソフトウェアのインストール用です。 3つ目はDomain Adminアカウントで、サーバーとドメインの管理にのみ使用されます。もっと偏執的/安全になりたいのであれば、おそらく4分の1が適切でしょう。

12
Christopher Karel

私の以前の会社では、すべてのシステム管理者が2つのアカウントを取得すると主張しました。

  • ドメイン\ st19085
  • DOMAIN\st19085a(管理者の場合は "a")

同僚は最初は気が進まなかったが、それは経験則になり、ウイルスの脅威に関する典型的な質問「私たちはアンチウイルスを入手した」が古いウイルスデータベースによって暴かれた...

  • あなたが述べたように、[〜#〜] runas [〜#〜]コマンドを使用することができます(以前はカスタムを表示するバッチスクリプトがありました)メニュー、RUNASコマンドで特定のタスクを起動)。

  • もう1つは Microsoft管理コンソール の使用です。必要なツールを保存し、right-clickRun As ...およびドメイン管理者アカウント。

  • 最後になりましたが、PowerShell ShellをDomain Adminとして起動し、そこから必要なものを起動していました。
8
Camille Le Mouëllic

私はそれを両方の方法で行う場所で働いており、通常は個別のアカウントを持つことを好みます。 joeqwertyの消極的なユーザー/顧客が考えているように思われるのとは対照的に、実際にはその方がはるかに簡単です。

ドメイン管理のアクティビティに通常の毎日のアカウントを使用する利点:いや、すべての管理ツールはrunasなしで私のワークステーションで動作します!えっ!

ドメイン管理アクティビティに通常の毎日のアカウントを使用することの短所:恐れ。 ;)デスクトップテックは、マシンの何が問題なのかを理解できず、ログインするとウイルスが存在するため、マシンを確認するように求めます。ネットワークケーブルを取り外し、パスワードを変更します(他の場所)。マネージャーが携帯電話プロバイダーを介して個人のブラックベリーで仕事用の電子メールを受信しない理由を尋ねると、あなたはそれを行うときにサーバーにDOMAIN ADMINパスワードを保存していることを説明します。等。あなたの非常に特権的なパスワードは、ウェブメール、VPN、このウェブページへのログインなどに使用されます。 (Ew。)(公平を期すために、私のアカウントは「パスワードの変更」Webページからブロックされたので、少なくともそれはありました。Webページが同期した古いLDAPパスワードを変更したい場合は、同僚の机に。)

ドメイン管理アクティビティに別のアカウントを使用する利点:インテント。そのアカウントは、意図されたであり、電子メール、ウェブメール、vpn、ウェブページのログインなどではありません。したがって、私の通常の「ユーザー」アクティビティが公開していることへの恐れが少なくなりますリスクにさらされるドメイン全体。

ドメイン管理アクティビティに別のアカウントを使用することの短所:管理ツールにrunasを使用する必要があります。それはそれほど苦痛ではありません。

TL; DRバージョン:別のアカウントを作成することは、単純な簡単です。最低限の特権 であるため、これもベストプラクティスです。

4
Katherine Villyard

Least Privは十分な理由ですが、そうでない場合は、ユーザーと同じ権限を持つアカウントを使用すると、ユーザーが行う問題に遭遇する可能性が高くなり、自分のアカウントでデバッグできることも考慮してくださいあまりにも-彼らがそれらを見る前にしばしば!

「それは私のために働く」と言ってチケットを閉じる管理者よりも悪いことは何もありません:)

2
Tom Newton

理論的には、日常のアクティビティにはトップ管理者のログオンを使用しないことが最善です。ウイルスなどの理由はたくさんあります。ウイルスに感染してDomain Adminログオンを実行している場合、ウイルスはネットワークに簡単にアクセスでき、フルアクセスが可能です。間違いの可能性は確かに簡単ですが、それが最大の課題であるとは思いません。キャンパスを回って、トップ管理者でログオンすると、誰かがあなたの肩越しにパスワードを探している可能性があります。そんなことすべて。

しかし、それは実用的でしょうか?そのルールを守るのは難しいと思いますが、守りたいです。

1
ETL

実際の経験に基づいて私の2セントを追加します。

日常業務に管理者アカウントを使用していることを知り、常に意識していると、何をするにも非常に慎重になります。そのため、メール/リンクをクリックしたり、トリプルチェックなしでアプリケーションを実行したりするだけではありません。私はそれがあなたのつま先を保つと思います。

日常の作業に最小特権アカウントを使用すると、不注意になります。

0
badbanana