Сколько учетных записей должно быть у администратора?
Представьте такую ситуацию:
В доменной инфраструктуре есть несколько администраторов и сотрудников ИТ с расширенными правами.
Повседневные задачи все выполняют с правами простого пользователя. Чтобы не скомпрометировать учетную запись (УЗ) доменного администратора, ее использование разрешено только для задач, где права доменного администратора необходимы. Сотрудникам ИТ, которые должны иметь права локального администратора(например, для установки ПО) на свой или другие ПК создается отдельная (3я) доменная УЗ, которая имеет права локального администратора на доменных ПК.
Еще у сотрудников ИТ есть административный доступ в различные системы, такие как: антивирус, 1С, сервер аутентификации и пр. Все они используют доменную аутентификацию.
С одной стороны логично использовать для этих систем УЗ простого пользователя, так как это: 1) не задача доменного админа 2) не задача локального админа. С другой стороны, УЗ простого пользователя становится совсем не простой.
Какое ваше мнение, как правильно организовать доступ администраторов к ИТ системам с доменной аутентификацией?
Сколько учетных записей должно быть у администратора?
У одного администратора должна быть одна учётная запись. Которая является членом кучи групп, и каждая из групп даёт минимально необходимый набор прав для выполнения вполне определённой функции/работы.
Если администратору нужна вторая учётная запись, для одновременной работы с двумя записями, или учётная запись с некими ограниченными правами - он просто создаёт такую учётную запись, ограничивая срок её действия необходимым периодом времени, либо, если таковая уже существует, разблокирует её на нужный срок и при необходимости корректирует набор её прав включением в нужные группы либо исключением из ненужных групп.