UAC em um ambiente do Active Directory

Navegue suas respostas
1

No trabalho, recebemos recentemente uma recomendação para ter duas contas separadas para administradores de domínio. Uma conta seria uma conta de usuário padrão sem privilégios de administrador e uma seria um membro dos administradores de domínio. Embora eu possa entender por que essa recomendação está sendo feita, parece uma dor real também.

Eu sei que o UAC gerencia esse tipo de escalação de privilégios de uma maneira quase transparente. O UAC ou outra solução é capaz de fornecer esse nível de proteção?

    
por bshacklett 19.01.2012 / 16:04

3 respostas

6

Sim e não, depende do seu conforto com os riscos envolvidos. O UAC definitivamente fornece uma camada de proteção, semelhante a sudo no mundo linux. No entanto, se você se acostumar a clicar cegamente em Sim em todos os prompts do UAC, a proteção será um pouco reduzida. Se sua conta não for autorizada a realizar essas ações, a dispensa acidental de um prompt do UAC não é um perigo.

É claro que ainda existem perigos de estar logado sob a conta de administrador de domínio, mas é muito mais uma ação intencional e você pode separar as autorizações muito mais com contas duplas. Também oferece à sua organização uma maneira mais fácil de remover autorizações no caso de alguém alterar a função do trabalho.

    
por 19.01.2012 / 16:13
2

Não é tão simples.

Com duas contas, um usuário de domínio e um administrador de domínio, você tem uma separação completa entre sua função como usuário dos sistemas e sua função como administrador dos sistemas.

Com o UAC, você realiza apenas a separação de privilégios. Seu SID sempre permanece o mesmo e você não pode separar as duas funções com ACL, por exemplo. Ou você tem acesso ou não.

Se você realmente deseja ter apenas um usuário, defina as duas configurações de UAC a seguir na sua Política de domínio padrão:

  1. Comportamento do prompt de elevação para administradores no modo de aprovação de administrador = Solicitação de credenciais

  2. Executar todos os administradores no Modo de aprovação de administrador = Ativado

por 19.01.2012 / 16:16
0

Eu pessoalmente separaria completamente suas contas e ativaria o modo de aprovação do administrador com a solicitação de credenciais em toda a linha. Você pode então ter separação completa de suas contas e privilégios dentro de uma ACL. Sempre que você eleva, solicita credenciais.

Eu tenho uma conta separada para usuário, administrador de domínio, administrador geral de servidor e administrador de estação de trabalho. Dependendo de quais direitos eu preciso ter para uma ação ou aplicativo, eu insiro as credenciais relevantes no prompt do UAC e sempre faço login como minha conta de usuário.

    
por 19.01.2012 / 16:28

Tags

2008DC Time Server Interupts e alternância de contexto