На работе мы недавно получили рекомендацию иметь две отдельные учетные записи для администраторов домена. Одна учетная запись будет стандартной учетной записью пользователя без прав администратора, а одна будет членом Администраторов домена. Хотя я могу понять, почему дается эта рекомендация, это также кажется королевской болью.
Я знаю, что UAC управляет этим типом повышения привилегий в основном прозрачным образом. Способен ли UAC или другое решение обеспечить такой уровень защиты?
Да и нет, это зависит от вашего комфорта с учетом связанных с этим рисков. UAC определенно обеспечивает уровень защиты, похожий на sudo
в мире Linux. Однако, если вы просто привыкнете слепо нажимать Да во всех запросах UAC, защита несколько снизится. Если ваша учетная запись напрямую не авторизована для выполнения этих действий, то случайное отклонение приглашения UAC не представляет опасности.
Конечно, все еще есть опасность входа в систему под учетной записью администратора домена, но это гораздо больше преднамеренное действие, и вы можете гораздо больше разделить авторизации, имея двойные учетные записи. Это также дает вашей организации более простой способ удалить авторизации в случае, если кто-то изменит должностные обязанности.
Все не так просто.
С двумя учетными записями, пользователем домена и администратором домена, вы получаете полное разделение между вашей ролью пользователя систем и вашей ролью администратора систем.
С UAC вы выполняете только разделение привилегий. Ваш SID всегда остается тем же, и, например, вы не можете разделить две роли с помощью ACL. У вас либо есть доступ, либо нет.
Если вы действительно хотите иметь только одного пользователя, убедитесь, что вы установили следующие 2 параметра UAC в своей политике домена по умолчанию:
Поведение запроса на повышение прав для администраторов в режиме утверждения администратором = запрос учетных данных
Запускать всех администраторов в режиме одобрения администратором = Включено
Я бы лично полностью разделил ваши учетные записи и включил режим утверждения администратора с запросом учетных данных по всем направлениям. Затем вы можете полностью разделить свои учетные записи и привилегии в ACL. Всякий раз, когда вы повышаете уровень, он запрашивает учетные данные.
У меня есть отдельная учетная запись для пользователя, администратора домена, общего администратора сервера и администратора рабочей станции. В зависимости от того, какие права мне нужны для действия или приложения, я ввожу соответствующие учетные данные в приглашение UAC и только когда-либо входил в систему как моя учетная запись пользователя.