Eu recomendo criar um segundo usuário e dar a ele os únicos direitos de que precisam. Você pode definir uma expiração nessa conta para saber que só podem usá-la até que a conta expire. Se você tem medo de editar sua conta, você pode evitar isso por meio de uma política de grupo ou não distribuir acesso administrativo, ou outros meios para restringir o acesso ao Active Directory.

Mas principalmente a questão é: você confia nessa empresa para ajudar? Geralmente, essas empresas são chamadas para um problema específico, por exemplo, porque suportam seu produto. E não é do interesse deles roubar informações, mas apenas ajudar.

Além disso, certifique-se de que alguém olhe para os ombros da pessoa de TI se realmente tiver medo.

powershell [Reflection.Assembly]::LoadWithPartialName('System.Web')^|Out-Null;1..12^|%{[Web.Security.Membership]::GeneratePassword(16,3)}

Se você fornecer ao serviço a infraestrutura de TI interna, não terá segurança. Esta é uma questão de decência empresa de serviços externos.

O problema na arquitetura do sistema operacional, que não é servido por um sistema separado no nível do kernel e dados do aplicativo separadamente, rotas e links.

Nenhum exemplo de um papel como "auditor", exemplo - Novell Netware, função "auditor" é executada apenas para a ação de revisão, mas não pode fazer nenhuma alteração.

Se você precisar de segurança, as contas administrativas só devem ser você.

Assim, é necessário dar uma indicação de problemas - mensagens de erro e aplicativos do sistema que podem ser automatizados. E criptografou mensagens peredovat via SOAP, ou de qualquer outra forma. Na direção oposta você vem scripts que resolvem seu problema, você está vendo possíveis danos, tendo que ficar em pé e então - aplicar.

O que você quer não é segurança, mas o jogo em segurança. Porque linha de comando de fato - administração instantânea. Aplicativo - ainda mais rápido. Quantos milissegundos você deseja conceder privilégios administrativos ao outro lado? )))

Um administrador de domínio é um administrador de domínio

Qualquer pessoa que você conceder permissões administrativas completas poderá fazer o que quiser, incluindo a instalação de acesso secreto ao back-door, a falsificação de logs de auditoria e o acesso e cópia de dados à vontade. O melhor que você pode fazer emitindo contas temporárias de administrador de domínio é criar uma falsa sensação de segurança para a empresa.

O administrador do domínio é a credencial mais alta que pode ser emitida em um domínio. Não responde a ninguém e não pode ser restringido por contas menores ou iguais. Se você quiser limitá-lo, você precisaria empregar um nível de privilégio superior, algo que não existe no Active Directory.

As credenciais de administrador de domínio devem sempre, nunca, estar nas mãos de quem você confia. Se o provedor de serviços de terceiros não puder ser considerado confiável, eles não poderão ter direitos de administrador de domínio. Se eles tiverem esses direitos para fornecer seus serviços, você deve primeiro abordar a questão da confiança entre as pessoas envolvidas. Isso não é algo que você possa fazer com uma solução puramente baseada em tecnologia.

Aqui está algo que você poderia fazer. Dê ao cara acesso aos seus computadores via ssh. Mas também, mantenha um script em seu computador, talvez um cron job para bloquear a porta 22 em um tempo pré determinado.

Agora, sempre que chegar essa hora em particular, o script é executado, a porta 22 é bloqueada e mesmo que o cara tenha a senha, ele não poderá acessar o computador.

É claro que ele não deve saber onde está o script ou que o script existe.