Prática recomendada para conta de administrador no Windows Server

3

Sei que é semelhante a "Devo ter várias contas de administrador de domínio?", mas recentemente encontrei um problema em que o NLB no Windows Server 2008 causou um erro se a conta de Administrador não foi usada (ou se o UAC estava ativo) .

Isso significa que a conta Administrador é necessária para configurar os recursos do servidor e, em caso afirmativo, qual é a melhor prática para contas de administrador sob essa circunstância? Ou isso é simplesmente um bug no NLB do Windows Server 2008?

    
por alanben 11.11.2009 / 10:58

2 respostas

1

Eu considero isso como um bug, mas pode haver algum debate - o que está acontecendo é que o processo de configuração do NLB requer elevação em algum estágio, mas falha ao fazer isso de uma maneira que aciona o prompt de elevação. Com o UAC ativado, se você usar a conta interna Administrador ou se os sistemas fizerem parte de um domínio, uma elevação automática da conta do Administrador de domínio será acionada. Contas que são "meramente" membros do grupo Administradores local não se comportam dessa maneira e isso resulta em vários problemas como esse (por exemplo, você não pode se conectar a um compartilhamento de administração remota em um sistema W2K8 com uma conta, a menos que seja O administrador local ou um membro dos administradores de domínio.

Esse comportamento pode ser alterado pelo GPO - há alguns detalhes em este artigo de technet ( é sobre o Vista, mas também se aplica aos servidores W2K8 no domínio).

    
por 11.11.2009 / 13:19
3

Veja o que eu faço:

  1. Eu crio contas de Administrador de Domínio para cada Administrador (que precisa de uma).
    1. Esse será o nome de usuário anexado a user.name.adm ou algo assim.
    2. Eu vinculo seu e-mail a uma conta de usuário normal, a conta * .adm é apenas para funções de administrador de domínio, não está navegando na web
  2. Para serviços que precisam de acesso ao administrador do domínio (como SCOM), eu crio contas separadas e gero senhas extremamente complexas em keepass . Configure e esqueça.

Does this mean that the Administrator account is required for configuring server features and if so what is the best practice for administrator accounts under this circumstance?

A maioria dos recursos do servidor precisa ser configurada como um Administrador, depois de ingressar em um domínio, o Administrador de Domínio será necessário ao fazer alterações no Active Directory. O MSNLB faz algumas alterações no AD e em outros serviços, mas não me lembro onde, provavelmente, o DNS, mas pode haver outras opções definidas em contêineres individuais no AD.

Além disso, se você acabou de configurar o MSNLB, preste atenção às suas solicitações ARP na sua rede. O MSNLB não gosta de jogar bem com grandes redes de camada 2 e deve ser segmentado em uma rede separada. Se não, isso pode causar alguns problemas de rede irritantes.

    
por 11.11.2009 / 11:56