Devo adicionar minha conta de usuário ao grupo de administração local para gerenciar hosts Windows remotos? (Server 2012)

2

Configurei algumas VMs do Windows Server 2012 e estou fazendo experiências com minha primeira instalação do Core. Eu pretendo gerenciar esses servidores com o Gerenciador de Servidores e o PowerShell. Pelo que entendi, eu preciso adicionar o meu usuário ao grupo de administração local do sistema remoto ou "Gerenciar como" os servidores com a conta do administrador do domínio. Uma terceira opção que posso ver é criar uma nova conta que tenha apenas privilégios de administrador local para servidores que eu gerenciei dessa maneira.

Qual das três práticas é a mais adequada? (Ou existe uma melhor quarta opção?)

  1. Adicionar meu usuário ao grupo de administradores locais do servidor remoto.
  2. Use a opção "Gerenciar como" do Gerenciador do Servidor para se conectar aos servidores remotos com as credenciais do administrador do domínio.
  3. Crie um novo usuário que seja adicionado apenas como administrador local, onde for apropriado, e use "Gerenciar como" para se conectar.
  4. Algo mais?
por Chris76786777 24.08.2013 / 01:36

1 resposta

3

Em um ambiente de domínio do AD, as contas locais geralmente são mal vistas porque são mais difíceis de gerenciar / acompanhar. Depois de ter muitas contas locais diferentes com muitas senhas separadas em muitos servidores, você começará a fazer coisas burras inevitáveis, como manter o controle de todas elas em uma planilha, e não alterar as senhas em três anos ...

As contas de domínio geralmente mantêm as coisas muito mais simples.

Você pode usar coisas como Grupos restritos na Diretiva de Grupo para manter o grupo local de Administradores de suas máquinas limpo e previsível.

Se você tem um determinado grupo de máquinas que precisa ser um administrador, mas não precisa ser administrador de todas as máquinas no domínio, então, por favor, sinta-se à vontade para usar a diretiva de grupo para adicionar uma conta específica como um administrador para um determinado conjunto de máquinas. Por exemplo, use a Diretiva de Grupo para atribuir o grupo "Gerentes do Departamento de Contabilidade" ao grupo Administradores em todas as máquinas que residem na UO "Departamento de Contabilidade", etc.

E você está definitivamente no caminho certo de que a administração remota com o Server Core é o caminho a ser seguido. Menos exposição de segurança, tanto em termos de versões do Server Core com menos superfície de ataque, mas também administração remota permite logons de rede, que por si só dão menos exposição ao ataque do que um logon interativo completo via RDP.

Editar: uma última dica ... não use as Preferências da Política de Grupo para criar novas contas líquidas. Isso não é seguro. Adicionar contas de domínio existentes (ou grupos) a grupos locais é bom - mas não use o GPP para criar novos usuários com suas senhas armazenadas no GPP.

    
por 24.08.2013 / 01:54