¿Cómo debemos configurar los administradores de dominio?

3

Somos una pequeña empresa que está creciendo muy rápido. Durante mucho tiempo éramos 2 que éramos administradores de dominio. Pero en los últimos 2 años esto ha aumentado a 6 personas y esto me parece una mala idea a medida que crecemos.

La causa directa de mi consulta es esta pregunta . Esa solución requiere que los administradores del dominio que establecen los derechos de acceso sean completamente confiables. Y que solo aquellas personas de confianza pueden establecer la política que restringe el establecimiento de estos derechos de acceso para las 2 personas.

Entonces, supongamos que tenemos 2 personas que son 100% confiables que tienen derechos de administrador de dominio completos. Pero estas 2 personas rara vez realizarán el trabajo de administración del dominio real, solo las cosas que queremos restringir específicamente a ellos.

Para una empresa de 50 a 200 personas, ¿existe una forma común / recomendada de configurar esto? ¿Cuál es la mejor manera de hacer esto y qué derechos están generalmente restringidos a las 2 personas de confianza?

    
pregunta David Thielen 05.11.2015 - 00:37
fuente

2 respuestas

1

Una posible solución:

  • tiene dos cuentas administrativas
    • uno de ellos tiene una contraseña aleatoria que está escrita, sellada y almacenada en un lugar seguro fuera del alcance de los administradores
    • el otro solo se puede usar a través de autenticación de dos factores , uno de los administradores obtiene la contraseña y el otro, el certificado
  • configure cuentas con privilegios para las operaciones administrativas normales, compartidas entre estos administradores (y más, si es necesario) junto con una auditoría sólida.

Ahora tienes una situación donde

  • las tareas de administración normales son manejadas por personas seleccionadas, se realiza un seguimiento de lo que hacen y no pueden modificar estos registros
  • las tareas administrativas excepcionales son manejadas por los dos administradores al mismo tiempo, cuando están juntas
  • en casos excepcionales adicionales, puede acceder a la caja fuerte / banco, obtener el sobre sellado y acceder a una cuenta de administrador en toda regla.

Debe tener en cuenta los desastres (alguien, o algunas personas no están disponibles) y los escenarios de conspiración (los dos administradores trabajan juntos en su contra)

    
respondido por el WoJ 06.11.2015 - 14:55
fuente
0

Si eres una pequeña empresa, 2 administradores de dominio deben ser suficientes.

La descripción de Domain Admins de Technet es: -

  

Los miembros de este grupo tienen el control total del dominio. De forma predeterminada, este grupo es miembro del grupo Administradores en todos los controladores de dominio, todas las estaciones de trabajo del dominio y todos los servidores miembros del dominio en el momento en que se unen al dominio. De forma predeterminada, la cuenta de administrador es un miembro de este grupo. Debido a que el grupo tiene control total en el dominio, agregue usuarios con precaución.

     

Fuente: enlace

Ese tipo de control parece excesivo, por lo que lo que realmente necesita hacer es tener una auditoría, como una pequeña empresa que una informal hará. Solo indique quién requiere qué derechos sobre qué, por qué y asígnelos. Comience con un principal de "privilegios mínimos": todos son usuarios "normales" y qué derechos adicionales requieren para realizar su trabajo.

Por ejemplo: - es posible que desee que alguien pueda cambiar las contraseñas pero no instale software ni realice otras tareas administrativas, puede Delegate Control de las contraseñas sin otorgar ningún otro derecho.

    
respondido por el James Snell 06.11.2015 - 15:56
fuente

Lea otras preguntas en las etiquetas