Я установил несколько виртуальных машин Windows Server 2012 и экспериментирую с первой установкой Core. Я собираюсь управлять этими серверами с помощью диспетчера серверов и PowerShell. Насколько я понимаю, мне нужно либо добавить своего пользователя в группу локальных администраторов удаленной системы, либо «Управлять как» серверы с учетной записью администратора домена. Третий вариант, который я вижу, - это создание новой учетной записи с правами локального администратора только для серверов, которыми я буду управлять таким образом.
Какая из трех практик наиболее подходящая? (Или есть 4-й вариант лучше?)
В среде домена AD локальные учетные записи обычно не одобряются просто потому, что ими труднее управлять / отслеживать. Когда у вас будет слишком много разных локальных учетных записей со слишком большим количеством отдельных паролей на слишком большом количестве серверов, вы начнете делать неизбежные глупые вещи, например, отслеживать их все в электронной таблице и не менять их пароли в течение 3 лет ...
Учетные записи домена обычно делают вещи намного аккуратнее.
Вы можете использовать такие вещи, как группы с ограниченным доступом в групповой политике, чтобы локальная группа администраторов ваших машин оставалась чистой и предсказуемой.
Если у вас есть определенная группа машин, на которой вам нужно быть администратором, но вам не нужно быть администратором каждый машины в домене, то вы можете свободно использовать групповую политику для добавления определенной учетной записи в качестве администратора к определенному набору машин. Например, используйте групповую политику, чтобы назначить группу «Менеджеры бухгалтерии» группе администраторов на всех машинах, которые находятся в подразделении «Бухгалтерия» и т. Д.
И вы определенно На правильном пути удаленное администрирование с помощью Server Core - лучший способ. Меньшая подверженность безопасности как с точки зрения версий Server Core, имеющих меньшую поверхность для атак, так и удаленное администрирование позволяет выполнять вход в сеть, что само по себе менее подвержено атакам, чем полноценный интерактивный вход через RDP.
Изменить: последний совет ... не используйте настройки групповой политики для создания новых учетных записей. Это небезопасно. Добавление существующий учетные записи домена (или группы) в локальные группы - это нормально, но не используйте GPP для создания новых пользователей с их паролями, хранящимися в GPP.