Transição para longe da conta do Administrador do domínio

7

Em nosso ambiente Windows, nossos administradores de domínio têm apenas uma conta de usuário. Esta conta de usuário única é usada em toda a linha, incluindo a execução em uma estação de trabalho do dia a dia. Em nossa transição para longe dessa prática, estamos procurando as práticas recomendadas sobre como devemos configurar os administradores de domínio no futuro.

O primeiro passo óbvio é padronizar as contas com poucos privilégios e encaminhar os aplicativos conforme necessário. Como esta é a primeira vez que estamos nos movendo para essa configuração, não temos consciência de quais coisas devemos procurar e quais mudanças devemos fazer. E em uma escala mais ampla, como isso nos afeta nos administradores do SharePoint? Administradores do Office 365? etc ..

Quais recursos estão disponíveis ou você pode fornecer?

    
por Mark 12.11.2014 / 22:27

2 respostas

8

Vou tomar o rumo oposto como @TheCleaner.

Os hashes de senha dessas contas de Admin. de Domínio provavelmente estão em toda a sua rede, aguardando apenas um cenário de passagem. Por isso, recomendo que você remova essas contas dos administradores de domínio imediatamente e comece a usá-las como usuários limitados. (Você também deve alterar as senhas também.)

Este método também tem as vantagens distintas de não requerer qualquer perfil "voodoo" e, esperançosamente, não alterar quaisquer permissões em recursos como diretórios home, que deveriam ter o usuário nomeado de qualquer maneira. Isso também preserva as caixas de correio do Excahnge no local.

Crie novas contas de membros do Admin. do Domínio com restrições de logon limitadas apenas aos computadores do Controlador de Domínio. Essas contas nunca devem ser usadas para fazer nada além de fazer logon em computadores com Controladores de domínio para limitar a exposição de seus hashes de senha.

Esta será uma transição difícil, e você vai se deparar com coisas que estavam trabalhando em computadores-cliente apenas porque suas contas de usuário eram implicitamente membros do grupo "Administradores" local. Você provavelmente pode tornar essa pílula um pouco mais fácil de engolir usando outro aninhamento de grupo (digamos, "Ex-administradores de domínio") para conceder a essas contas direitos de administrador locais. Eventualmente você vai querer se afastar disso também.

    
por 12.11.2014 / 23:26
5

Aqui está minha recomendação rápida ... já que você pode trabalhar "para trás" facilmente para conseguir o que deseja.

  1. Renomeie as contas existentes no AD para algo como "Mark-Admin". Altere o nome de exibição e o nome de logon do usuário (nome de usuário). O SID permanecerá o mesmo, então é similar a alguém ir de seu nome de solteira para o nome de casada em essência. Todas as permissões, etc. em todos os lugares permanecem as mesmas.
  2. Crie cada uma delas novas contas de baixo privilégio, agora chamadas de "Mark" (qualquer que seja seu nome de usuário normal antigo que eles estavam acostumados a usar). Conceda a essas contas permissões para suas pastas pessoais e / ou qualquer outra permissão para a qual essa conta normal precise de acesso. Você também precisará transferir informações do sistema do Exchange / e-mail (endereços de e-mail, etc.) do antigo para essa conta também. Tenha em mente que o endereço de e-mail deles provavelmente é usado como informações de login para o O365 ou outros portais, caso você não esteja usando o SSO.
  3. Remova as permissões que o "Mark-Admin" não precisa mais acessar, se houver.
  4. Use uma ferramenta como o ForensIT Profile Wizard na estação de trabalho para migrar o perfil do antigo SID (agora Mark-Admin username) ao seu novo SID (Mark) ... devolvendo-lhes o desktop / profile / etc. como se eles sempre o usassem nessa conta.
  5. Para logons / portais de autenticação que não oferecem SSO (possivelmente seu O365, Sharepoint, etc.), será necessário atualizá-los de alguma forma. Por exemplo, com o O365, se você não estiver sincronizando com o AD, precisará atualizá-lo diretamente, criando uma nova conta ou modificando os direitos da conta existente. Isso será baseado na sua configuração. Por exemplo, se eles estiverem entrando com um endereço de e-mail, esse endereço obviamente será transferido para sua conta de baixo privilégio (Mark) e você precisará de uma configuração de endereço diferente para o Mark-Admin.
  6. Lucro
por 12.11.2014 / 23:00