none
Tornar as contas de administrador do domínio mais seguras. Qual a melhor estratégia?

    Pergunta

  •  

    Bom dia

    Estou participando de um projeto para tornar as contas de administrador do domínio as mais seguras possíveis.

    O projeto envolve dois sites, cada um com dois Controladores de domínio(primário e secundário), UOs, usuários e várias
    aplicações instaladas no ambiente, que necessitam de perfil ou de conta de Administrador para rodarem.

    A Microsoft recomenda a renomear os usuários administrator, administrador do Schema, Enterprise, Domain e Server e recria-los como usuários comuns, sem privilégios de administração, conforme o site :

    http://www.microsoft.com/brasil/security/guidance/topics/sgk/aapgch02.mspx

    Talvez funcione em um ambiente novo, com a criação de um domínio por exemplo. No meu caso, como já existe uma estrutura criada, gostaria de saber qual o melhor estratégia para trabalhar essa demanda, sem que nenhuma aplicação ou sistema deixe de funcionar com a mudança de tais contas?

     

    Desde já, muito obrigado pela ajuda

     

    Alex

    sexta-feira, 12 de dezembro de 2008 13:51

Respostas

  • Olá Alex,

     

    Por padrão a única conta que pertence a esses grupos é a administrador ou administrator. Você precisa levantar quais aplicações dependem dessa conta. O mais recomendável é criar uma conta de serviço  que não expire a senha. Nunca se deve deixar a conta administrador como conta de serviço. Aí você toma as medidas para deixar a conta administrador mais segura conforme documento do site da microsoft.

     

    Feito isso não terá problemas.

     

    Abraço

    sexta-feira, 12 de dezembro de 2008 14:43

Todas as Respostas

  • Olá Alex,

     

    Por padrão a única conta que pertence a esses grupos é a administrador ou administrator. Você precisa levantar quais aplicações dependem dessa conta. O mais recomendável é criar uma conta de serviço  que não expire a senha. Nunca se deve deixar a conta administrador como conta de serviço. Aí você toma as medidas para deixar a conta administrador mais segura conforme documento do site da microsoft.

     

    Feito isso não terá problemas.

     

    Abraço

    sexta-feira, 12 de dezembro de 2008 14:43
  • Obrigado pelo retorno, Daniel


    Seguindo sua recomendação, creio que os próximos passos seriam:
    1º Como o ambiente é crítico, promover a instalação dessas aplicações que dependem dessa conta Admin, em um ambiente de teste, agora com a conta de serviço criada;
    2º efetuar os testes devidos e depois de homologado, promover a troca da conta Admin no domínio, conforme documento do site da microsoft.

    Está correto?

     

    Abraço

    sexta-feira, 12 de dezembro de 2008 15:23