Tengo 69 administradores en AD y me he dado cuenta de que están haciendo todo tipo de cosas extravagantes (y poco confiables).
Esta es una auditoría pesadilla , y me preguntaba si hay una manera de deshabilitar a un administrador, por ejemplo, todos los lunes y miércoles.
Sé que está buscando algo integrado en AD, pero una cosa que me viene a la mente es la costumbre Credential Providers (es decir, reemplazando la pantalla de inicio de sesión de Windows por una personalizada y agregando lógica adicional sobre si aceptar o no su nombre de usuario / contraseña).
Si puede averiguar cómo programarlo, puede hacerlo cumplir; Jane solo puede iniciar sesión los martes y sábados. Fred solo puede iniciar sesión en una luna llena. John solo puede iniciar sesión mientras Mary no está marcada como "En una reunión". Lo que sea.
La creación de la suya es probablemente imposible, pero apostaría que hay un proveedor que vende un proveedor de credenciales que hará los horarios.
Yo caracterizaría la situación (como se indica) como: "La presa se reventó y la ciudad se inundó con 3 pies de agua. ¿Dónde puedo comprar trapeadores?" Parece que tienes un problema mucho más grande en tus manos que limitar el acceso de tus administradores a ciertos días.
Limite las personas que tienen derechos de administrador a las personas que han recibido capacitación en las políticas y procedimientos de su empresa y elimine a las personas que violen la política. Lo que significa que necesita tener políticas y procedimientos y la voluntad de la gerencia para hacerlos cumplir.
Y ahí es donde supongo que está la presa ráfaga.
Si no tiene políticas ni soporte de administración, creo que puede dejar de lado su deseo de límites de administración. Es hora de comenzar a construir esa presa para proteger la ciudad.
Estás intentando solucionar un problema que es muy, muy claramente humano con una tecnología ingenua. Alguien que hace "cosas extrañas" en un día en el que no está de servicio como administrador no se le puede confiar simplemente porque es martes por la tarde y están de servicio .
Si bien restringir el acceso en momentos en que no es necesario suena como algo adicional razonable, tiene administradores poco confiables en su AD.
La solución a eso no es restringir cuando hacen cosas malas. Esto les impide hacer cosas malas en absoluto, o educarlos para que no hagan esas cosas y restablecer la confianza.
Si no puedes confiar en tus administradores, necesitas mejores administradores, no menos tiempo en el que puedan hacer daño.
Una cosa razonable para hacer no sería restringir los tiempos de acceso, sino controlar mejor lo que pueden hacer. Por ejemplo, puede tener a alguien que haya obtenido roles de administrador en su AD porque es su trabajo agregar nuevas cuentas de usuario para nuevas contrataciones. Darles el derecho de agregar usuarios administrativos, eliminar usuarios, agregar máquinas, cambiar políticas en su AD es totalmente innecesario. Entonces, quítales estos derechos. Esto se puede hacer por medios tecnológicos, o por medios de recursos humanos.
Lea otras preguntas en las etiquetas account-security active-directory