Quais são os prós e contras de manter uma conta de administrador local em estações de trabalho do Windows 7 em um domínio?

Navegue suas respostas
3

Temos uma rede com máquinas do Windows 7 Enterprise, todos membros de um domínio. Mantemos uma conta 'Admin' local (desbloqueada) em cada estação de trabalho em paralelo à conta 'Administrador' incorporada (bloqueada). Como a instalação do sistema operacional exige que uma conta inicial seja criada antes que o computador ingressou no domínio, deixamos a conta "Admin" com uma senha strong. No entanto, isso exige que a mesma senha seja usada em máquinas e possivelmente nunca expire.

Note que em nosso ambiente não restringimos muito os usuários (principalmente desenvolvedores) e não planejamos fazer isso. Normalmente, as contas de usuário de domínio são membros do grupo Administradores nos respectivos desktops. Por outro lado, tentamos manter as coisas gerenciadas centralmente.

Quais são os prós e contras de manter essas contas de administrador locais (não de domínio) em estações de trabalho associadas a domínios em relação a:

  • segurança
  • gerenciamento
  • acesso a dados
  • resolução de problemas
por Ondrej Tucny 30.10.2011 / 19:08

2 respostas

3

What are the pros and cons of keeping such local (non-domain) admin accounts on domain-joined workstations in respect to:

Segurança

Há pouca diferença. Uma conta com privilégios administrativos pode destruir uma máquina. Isso é verdade, quer estejamos falando de um domínio ou conta local. Alguns argumentam que a conta Administrator local é mais vulnerável ao ataque, simplesmente porque é um nome de usuário bem conhecido. Se isso for uma preocupação, você sempre poderá alterar o nome de usuário da conta com um GPP embora isso não diminua os ataques que dependem do SID conhecido da conta, que não pode ser alterado. IMHO é mais importante usar uma senha strong do que tentar evitar tentativas de logon indesejadas.

Uma diferença notável exclusiva da conta de administrador local é que, por padrão, ignora automaticamente o UAC . Isso não tem sentido se um invasor estiver logado; UAC não vai pará-lo. No entanto, o UAC pode ser útil para ajudar a proteger um administrador legítimo. Esse comportamento pode ser alterado pela GP , eliminando-o como uma diferença.

Gerenciamento

Contas locais são mais difíceis de gerenciar. E não apenas a conta de administrador local. A alteração de uma conta de domínio é feita facilmente em um só lugar, afetando todos os computadores nos quais a conta é usada. Uma conta local só pode ser modificada na estação de trabalho onde ela existe. No entanto, com o advento das Preferências da Política de Grupo, algumas alterações na conta local (por exemplo, renomear o Administrador local para outra coisa [ver acima]) podem ser gerenciadas com a Diretiva de Grupo. Há também utilitários disponíveis para alterar senhas de contas locais.

Acesso a dados / solução de problemas

Uma conta de administrador local é indispensável. Somente as 10 contas de domínio anteriores para efetuar logon com êxito em uma máquina ainda podem fazer logon na conectividade de evento a um DC perdido (esse número é configurável ). Se nenhuma dessas contas tiver privilégios de administrador local e você estiver solucionando problemas em uma máquina que não consegue estabelecer uma conexão de rede, você está preso. Mesmo o acesso ao console de recuperação não será possível (pelo menos sem hacks). Mas com uma conta de administrador local disponível, você nunca precisa se preocupar com isso. Por esse motivo, tenho uma conta de administrador local em todas as máquinas de domínio que eu gerencio, incluindo (especialmente) servidores.

    
por 10.12.2014 / 19:02
1

meu representante ainda está muito baixo para postar comentários, então tenho que postar isso como uma resposta:

ter uma conta de administrador local geralmente é uma boa ideia, Quando a rede falhar ou a associação do domínio expirar, você ainda poderá efetuar login e corrigir o problema. MAS ter a mesma senha para todas as máquinas não é uma boa ideia, existem duas soluções possíveis para isso 1. mudar a senha regularmente 2. escreva algum script que gere uma senha aleatória e armazene-a onde somente você tenha acesso (por exemplo, em um compartilhamento)

    
por 30.10.2011 / 19:34

Tags

Como sincronizar o tempo entre um cliente Windows e um servidor NTP Linux? Linux / Multipath não está usando todos os caminhos e não usará path_selector no tamanho da fila?