Назад | Перейти на главную страницу

Рекомендации для учетной записи администратора в Windows Server

Я понимаю, что это похоже на «Должен ли я иметь несколько учетных записей администратора домена?», Однако недавно я столкнулся с проблемой, когда NLB в Windows Server 2008 вызывал ошибку, если учетная запись администратора не использовалась (или был включен UAC).

Означает ли это, что учетная запись администратора требуется для настройки функций сервера, и если да, то как лучше всего использовать учетные записи администратора в таких обстоятельствах? Или это просто ошибка Windows Server 2008 NLB?

Вот что я делаю:

  1. Я создаю учетные записи администратора домена для каждого администратора (который нужен).
    1. Это будет их имя пользователя, к которому добавлено user.name.adm или что-то в этом роде.
    2. Я привязываю их электронную почту к обычной учетной записи пользователя, учетная запись * .adm предназначена только для функций администратора домена, а не для серфинга в Интернете
  2. Для служб, которым требуется доступ администратора домена (например, SCOM), я создаю отдельные учетные записи и генерирую чрезвычайно сложные пароли в держать. Установите и забудьте.

Означает ли это, что учетная запись администратора требуется для настройки функций сервера, и если да, то как лучше всего использовать учетные записи администратора в таких обстоятельствах?

Большинство функций сервера необходимо настроить в качестве администратора, после присоединения к домену администратор домена потребуется при внесении изменений в Active Directory. MSNLB вносит несколько изменений в AD и другие службы, но я не могу вспомнить где, скорее всего, DNS, но могут быть другие параметры, установленные для отдельных контейнеров в AD.

Кроме того, если вы только что настроили MSNLB, обратите внимание на запросы ARP в вашей сети. MSNLB не любит работать с большими сетями уровня 2 и должен быть выделен в отдельную сеть. В противном случае это может вызвать неприятные проблемы с сетью.

Я бы посчитал это ошибкой, но могут быть некоторые споры - что происходит, так это то, что процесс настройки NLB требует повышения прав на каком-то этапе, но не может сделать это таким образом, чтобы вызвать запрос на повышение прав. При включенном UAC, если вы используете встроенную учетную запись администратора или если системы являются частью домена, запускается автоматическое повышение уровня учетной записи администратора домена. Учетные записи, которые являются «просто» членами локальной группы администраторов, не ведут себя подобным образом, и это приводит к ряду подобных проблем (например, вы не можете подключиться к удаленной общей папке администратора в системе W2K8 с учетной записью, если она не В локальный администратор или член администраторов домена).

Это поведение можно изменить с помощью GPO - подробности см. В эта статья в технике (это касается Vista, но это относится и к серверам W2K8 в домене).