Назад | Перейти на главную страницу

Переход от учетной записи только администратора домена

В нашей среде Windows у наших администраторов домена есть только одна учетная запись пользователя. Эта единственная учетная запись пользователя используется повсеместно, в том числе на повседневной рабочей станции. При переходе от этой практики мы ищем передовые методы настройки администраторов домена в дальнейшем.

Очевидным первым шагом является переход по умолчанию на учетные записи с низким уровнем привилегий и эскалация приложений по мере необходимости. Поскольку мы впервые переходим к этой настройке, мы не знаем, что нам следует искать и какие изменения мы должны внести. И в более широком масштабе, как это влияет на то, что мы являемся администраторами SharePoint? Администраторы Office 365? и т.д..

Какие ресурсы есть или вы можете предоставить?

Я собираюсь пойти по другому пути, как @TheCleaner.

Хэши паролей этих учетных записей администратора домена, вероятно, лежат по всей вашей сети, просто ожидая сценария передачи хэша. По этой причине я бы рекомендовал вам немедленно удалить эти учетные записи у администраторов домена и начать использовать их как ограниченных пользователей. (Вам все равно следует изменить пароли.)

Этот метод также имеет явные преимущества, заключающиеся в том, что он не требует никакого профиля «voodoo» и, надеюсь, не меняет никаких разрешений на ресурсы, такие как домашние каталоги, которые в любом случае должны были иметь имя пользователя. Это также сохраняет почтовые ящики Excahnge на месте.

Создайте новые учетные записи администратора домена с ограничениями входа в систему, ограниченными только компьютерами контроллера домена. Эти учетные записи никогда не должны использоваться для чего-либо, кроме входа в систему на компьютерах контроллеров домена, чтобы ограничить раскрытие их хэшей паролей.

Это будет трудный переход, и вы столкнетесь с вещами, которые работали на клиентских компьютерах только потому, что ваши учетные записи пользователей неявно входили в локальную группу «Администраторы». Возможно, вам будет легче проглотить эту таблетку, используя другую группу (скажем, «Бывшие администраторы домена»), чтобы предоставить этим учетным записям права локального администратора. В конце концов, вы захотите уйти и от этого.

Вот моя быстрая рекомендация ... так как вы можете легко работать "в обратном направлении" на этом этапе, чтобы получить то, что хотите.

  1. Переименуйте существующие учетные записи в AD на что-нибудь вроде «Mark-Admin». Измените их отображаемое имя и имя для входа в систему (имя пользователя). SID останется прежним, поэтому по сути это похоже на то, как если бы кто-то перешел от девичьей фамилии к женской. Все разрешения и т. Д. Везде остаются прежними.
  2. Создайте для каждой из них новые учетные записи с низким уровнем привилегий, которые теперь называются «Маркировка» (независимо от их старого обычного имени пользователя, которое они использовали). Предоставьте этим учетным записям разрешения на их домашнюю папку и / или любые другие разрешения, к которым эта обычная учетная запись нуждается в доступе. Вам также потребуется перенести системную информацию Exchange / электронной почты (адреса электронной почты и т. Д.) Из старой в эту учетную запись. Имейте в виду, что их адрес электронной почты, вероятно, используется в качестве информации для входа в O365 или другие порталы, если вы не используете систему единого входа.
  3. Удалите все разрешения, к которым «Mark-Admin» больше не нужен доступ, если таковые имеются.
  4. Используйте такой инструмент, как Мастер профилей ForensIT на своей рабочей станции, чтобы перенести свой профиль со старого SID (теперь имя пользователя Mark-Admin) на новый SID (Mark) ... вернуть им свой рабочий стол / профиль / и т. д. как будто они всегда использовали его для этой цели.
  5. Для порталов входа / аутентификации, которые не предлагали SSO (возможно, ваш O365, Sharepoint и т. Д.), Вам нужно как-то их обновить. Например, с O365, если вы не синхронизируете с AD, вам необходимо обновить его напрямую, создав новую учетную запись или изменив права существующей учетной записи. Это будет основано на ваших настройках. Например, если они в настоящее время входят в систему с адресом электронной почты, то этот адрес, очевидно, будет перенесен в их учетную запись с низким уровнем привилегий (Mark), и вам потребуется настроить другой адрес для Mark-Admin.
  6. Прибыль