none
Учетные записи на серверах RRS feed

  • Вопрос

  •     Добрый вечер коллеги. Вопрос следующий. Есть контроллер домена и порядка 10 разных виртуальных серверов со своим предназначением.  У каждого сервера есть стандартная локальная учетная запись Администратора и Пароль (Локальный пароль у каждого сервера индивидуальный). Все сервера в домене и при работе на сервере использую учетную запись Администратора домена.

    Вопрос! Как правильно? Использовать на серверах при работе локального администратора или одного доменного Админа. Или может для каждого сервера создать своего доменного админа с разным именем и паролем??? Кто вообще как использует?

    3 сентября 2018 г. 15:17

Ответы

  • Локальные учетки используются в тех случаях когда утрачены доверительные отношения к домену, во всех остальных случаях используются индивидуальные учетки: если вы один админ к компании, то и учетка одна - ваша, если у вас есть напарник, то создаете 2 учетки: для себя и того парня.

    Создавать удетки доменный админов под каждый сервер смысла нет, так как получив доступ к одной учетке вы автоматом получаете доступ ко всей сети.

    А если их будет больше одной - будете постоянно забывать менять пароли, и в результате получите хаос.

    для локальных паролей есть laps


    The opinion expressed by me is not an official position of Microsoft


    • Изменено Vector BCOModerator 3 сентября 2018 г. 15:35
    • Помечено в качестве ответа Razor1212007 4 сентября 2018 г. 6:17
    3 сентября 2018 г. 15:31
    Модератор

Все ответы

  • Локальные учетки используются в тех случаях когда утрачены доверительные отношения к домену, во всех остальных случаях используются индивидуальные учетки: если вы один админ к компании, то и учетка одна - ваша, если у вас есть напарник, то создаете 2 учетки: для себя и того парня.

    Создавать удетки доменный админов под каждый сервер смысла нет, так как получив доступ к одной учетке вы автоматом получаете доступ ко всей сети.

    А если их будет больше одной - будете постоянно забывать менять пароли, и в результате получите хаос.

    для локальных паролей есть laps


    The opinion expressed by me is not an official position of Microsoft


    • Изменено Vector BCOModerator 3 сентября 2018 г. 15:35
    • Помечено в качестве ответа Razor1212007 4 сентября 2018 г. 6:17
    3 сентября 2018 г. 15:31
    Модератор
  • С точки зрения ИБ доменного админа лучше использовать только на КД + добавить его в группу Protected Users. Для администрирования на других серверах вы можете создать даже несколько учётных записей с административными правами и разбить эти сервера на несколько категорий (например SQL, 1С, SharePoint, сервера с критичной для бизнеса информацией и т.п.) Соответственно под каждую группу серверов (категорию) можно выделить отдельную административную УЗ. Соответственно в случае её компроментации будет потеряна только часть данных, а не весь домен (это теоретически, а по факту через mimikatz раздобыть пароли доменных админов не представляет никакой сложности).

    Либо же (в небольших компаниях) выделить одну УЗ, выдать её права администратора на этих серверах, задать сложноподбираемый пароль, периодически его менять. Идеально настроить мониторинг логина, смены пароля, доступа извне и т.п.

    Никто не запрещает вам ходить и под локальными админами (по совету выше можно внедрить laps), но имхо в этом случае администрировать будет неудобнее.

    P.S. Также крайне рекомендуется все админские УЗ поместить в Protected Users.

    3 сентября 2018 г. 15:50
  • а по факту через mimikatz раздобыть пароли доменных админов не представляет никакой сложности

    ну таки, емнип, это только если домен админы логинились после ребута сервака, а вы сами говорите, что лучше создать отдельные не домен админные учетки под каждый тип сервера.

    4 сентября 2018 г. 6:07
  • Спасибо за ответ. Значит в правильном направлении иду.
    4 сентября 2018 г. 6:18