A melhor prática recomendada é Live User, Work Root . O usuário com o qual você efetuou login quando acertar a atualização na Falha do servidor a cada 5 minutos deve ser um usuário normal. O que você usa para diagnosticar problemas de roteamento do Exchange deve ser Admin. Conseguir essa separação pode ser difícil, já que no Windows, pelo menos, exige duas sessões de login e isso significa dois computadores de alguma forma.
- As VMs funcionam muito bem para isso e é assim que eu resolvo isso.
- Ouvi falar de organizações que restringem o login de suas contas elevadas a determinadas VMs hospedadas internamente, e os administradores confiam no RDP para acesso.
- O UAC ajuda a limitar o que um administrador pode fazer (acessando programas especiais), mas os prompts contínuos podem ser tão irritantes quanto ter que se conectar remotamente a outra máquina para fazer o que é necessário fazer.
Por que essa é uma prática recomendada? Em parte, é porque eu disse , e muito outras. O SysAdminning não possui um corpo central que defina as melhores práticas de qualquer forma definitiva. Na última década, publicamos algumas práticas recomendadas de segurança de TI, sugerindo que você só usa privs elevados quando realmente precisa deles. Algumas das melhores práticas são definidas através da gestalt da experiência dos administradores de sistemas nos últimos 40 anos. Um artigo da LISA 1993 ( link ), um exemplo de documento da SANS (< um href="http://www.sans.org/reading_room/whitepapers/basics/administration-shared-accounts_1271"> link , um PDF), uma seção dos controles de segurança críticos da SANS toca nisso ( link ).