在我们的
Windows环境中,我们的域管理员只有一个用户帐户.该单用户帐户全面使用,包括在日常工作站上运行.在我们远离这种做法的过渡中,我们正在寻找有关如何设置Domain Admins向前发展的最佳实践.
显而易见的第一步是默认为低权限帐户并根据需要升级应用程序.由于这是我们第一次采用这种设置,因此我们不知道应该寻找什么,以及我们应该做出哪些改变.在更广泛的范围内,这会如何影响我们成为SharePoint管理员? Office 365管理员?等等..
那里有什么资源,或者你能提供什么?
我将采取与@TheCleaner相反的方式.
原文链接:https://www.f2er.com/windows/369775.html这些Domain Admin帐户的密码哈希值可能遍布您的网络,只是等待传递哈希的方案.因此,我建议您立即从Domain Admins中删除这些帐户,并开始将其用作受限用户. (您还应该更改密码.)
这种方法还有一个明显的优点,即不需要任何配置文件“voodoo”,并且希望不会改变对主目录等资源的任何权限,这些权限本应该是用户命名的.这也可以保留Excahnge邮箱.
创建新的Domain Admin-member帐户,其登录限制仅限于域控制器计算机.除了登录到域控制器计算机之外,不应将这些帐户用于限制密码哈希值的暴露.
这将是一个艰难的过渡,并且您将遇到仅在客户端计算机上工作的事情,因为您的用户帐户是本地“管理员”组的隐式成员.您可以使用另一个组嵌套(例如,“前域管理员”)为这些帐户提供本地管理员权限,从而使这个药丸更容易吞下.最终你也会想要摆脱它.