none
Active directory e account administrator RRS feed

  • Domanda

  • Buongiorno a tutti,

    sono alle prese con la mia prima installazione di Active Directroy e configurazione di un Domino.

    Sul server (Domain Controller) ho un solo utente : Administrator (predefinito al momento dell'installazione di Windows Server 2008) che è anche amministatore del dominio.

    Secondo voi è consigliabile aggiungere un altro account che faccia solo da amministratore del dominio e lasciare l'account prefdefinito solo come amministratore locale del server?

    Gli account administrator locali ai vari desktop della rete, similarmente, dovrebbero restare solo amministratori locali e non anche del dominio, giusto?

    A mio avviso questi ultimi (administrator desktop) dovrebbero avere anche password (se non anche nomi) diversi dall'amministratore locale sul server (e a maggior ragione dall'amministratore del domino). Il mio collega dice che sono paranoico, voi che ne pensate? esagero?

    Grazie.

    martedì 29 maggio 2012 10:22

Risposte

  • quando un server viene trasformato in domain controller il databse degli utenti locali viene eliminato ed esistono solo gli account di dominio che vengono salvati nel databse di active directory. ti viene creato un solo account amministrativo al quale devi assegnare una password che serve ad avviare il server in Directory Services Restore Mode.

    gli administrators dei clients sono solo administrators locali di ciascun client e non di dominio.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org


    martedì 29 maggio 2012 12:41
    Moderatore
  • 1) esatto, esistono solo account di dominio e non locali

    2) hai detto bene, quelli sono gruppi o meglio Security group di dominio (non locali), nel primo gruppo ci sono gli amministratori del server, nel secondo i domain admin

    3) conviene disabilitare l'account Administrator dopo averne creati degli altri che siano domain admin (questo per evitare attacchi brute force alle credenziali dell'account administrator).

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    mercoledì 30 maggio 2012 12:54
    Moderatore
  • la risposta è no: solo gli utenti del gruppo Domain admin sono anche di default membri del gruppo locale Administrators di ciascun client.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    venerdì 1 giugno 2012 12:10
    Moderatore

Tutte le risposte

  • quando un server viene trasformato in domain controller il databse degli utenti locali viene eliminato ed esistono solo gli account di dominio che vengono salvati nel databse di active directory. ti viene creato un solo account amministrativo al quale devi assegnare una password che serve ad avviare il server in Directory Services Restore Mode.

    gli administrators dei clients sono solo administrators locali di ciascun client e non di dominio.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org


    martedì 29 maggio 2012 12:41
    Moderatore
  • Ti ringrazio, innanzitutto, per la risposta.

    Se ho ben capito quindi sul DC esistono solo account di dominio e non "locali"?

    Perchè esistono sia i l gruppo Administrators  che quello Domain Admins?

    Ad ogni modo a tuo avviso è bene lasciare il solo account Administrator sul DC? Rinominarlo può provocare problemi?

    Grazie mille.

    martedì 29 maggio 2012 13:06
  • 1) esatto, esistono solo account di dominio e non locali

    2) hai detto bene, quelli sono gruppi o meglio Security group di dominio (non locali), nel primo gruppo ci sono gli amministratori del server, nel secondo i domain admin

    3) conviene disabilitare l'account Administrator dopo averne creati degli altri che siano domain admin (questo per evitare attacchi brute force alle credenziali dell'account administrator).

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    mercoledì 30 maggio 2012 12:54
    Moderatore
  • Un ultima domanda su questo argomento :

    Non ho ancora disabilitato l'utente administrator sul dc ma ora fa parte solo del gruppo "Administrators".

    Con questo account è comunque possibile accedere con privilegi da amministratore (non di dominio) su tutti i client collegati al domino, giusto?

    venerdì 1 giugno 2012 06:46
  • la risposta è no: solo gli utenti del gruppo Domain admin sono anche di default membri del gruppo locale Administrators di ciascun client.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    venerdì 1 giugno 2012 12:10
    Moderatore