Windows 2008(およびR2)では、管理者アカウントの名前を変更するか、それを無効にして新しいアカウントを作成する必要がありますか?
ビルトインAdministratorアカウントを無効にすると問題が発生しますが、これは依然としてベストプラクティスと見なされますか?
一般的な方法は、アカウントの名前を変更することです。
TechNetおよびMS Pressの「Windows Server 2008 R2のセキュリティ保護」に記載されているマイクロソフトのベストプラクティス
1.名前を変更しないでください。
あなたはあなたの努力を無駄にし、(後方互換性のために)Adminアカウントが機能することを必要とするアプリ/サービスがネットワーク上にある場合、それらは壊れます。
2. BUILTIN\Administratorを無効にします。
アカウントの名前を変更して攻撃者用のハニーポットを作成することは、時代遅れの習慣です。これまであなたのネットワークに侵入するのに十分なクラッカーは、すでにこの策略を知っています。クラッカーは、末尾が-500のSIDを探すだけです。
3.わかりやすい名前でアカウントを作成し、管理者権限を付与します。
つまり、アカウントに「JohnBlack」または「BettyClark」という名前を付けます。アカウントには、Superman、Root、Skywalker、またはtestadmやLocalAdminなどのAdminまたはADMを含む名前を付けないでください。まだ名前で管理者アカウントを検索するプログラムは、これらの名前もチェックできるように十分に進化しています。
4.手順3でアカウントを作成したら、絶対に使用しないでください。
管理者アクセスを通常のアカウントとして使用している場合は、監査できません(他の理由で使用しない場合を除いて)。
何らかのローカル管理アカウントが必要になるため、アカウントの名前を変更することをお勧めします。出荷されるアカウントは、システムを実行するために適切に設定および構成されています。名前を変更すると、基本的にセキュリティ上の目的で別のアカウントに変わります。
私は両方の推奨事項に遭遇しました。私の最後の仕事では、Active Directoryドメインにあるマシンのローカル管理者アカウントを無効にしました。
個人的にはそれを無効にして、新しい管理ユーザーアカウントを作成することをお勧めします。このようにして、ユーザープロファイルに問題がある場合でも、管理アカウントを持っている場合は、フォールバックできます。
williamtorresの答えは正しいようです。ここに管理者アカウントを無効にするコマンドがあると仮定します(したがって、検索する必要はありません:)
ネットユーザー管理者/ active:no
http://technet.Microsoft.com/en-us/library/dd744293(v = ws.10).aspx