Dois-je avoir plusieurs comptes d'administrateur de domaine?

Je travaille dans une petite organisation avec 2 serveurs et 30 clients. Nous sommes complètement Windows Server 2003 / XP. Outre moi, le directeur des opérations et notre société de conseil en informatique doivent avoir accès à un compte d'administrateur de domaine.

Devrions-nous avoir plusieurs comptes d'administrateur de domaine pour une raison quelconque (modification de la journalisation, sécurité ou autre)? Y a-t-il des raisons de ne pas avoir plusieurs comptes d'administrateur de domaine?

Chaque utilisateur qui effectue des activités administratives doit avoir un compte dédié pour effectuer ces activités. Dans un environnement Windows, le compte administrateur intégré (RID 500) doit avoir un mot de passe complexe défini, imprimé et enfermé dans un coffre-fort, etc. en cas d'urgence.

Un principe général de sécurité est le suivant: vous voulez savoir qui exécute quelles activités (administratives, dans ce cas) (c.-à-d. Avoir une piste d'audit. Le partage de comptes les fait sortir de l'eau.

De plus, vous voulez pouvoir couper l'accès d'un individu en cas de violation de la sécurité du mot de passe, de résiliation, etc. Les comptes partagés ne répondent pas non plus à ces critères.

Les comptes partagés à usage commun de tout type doivent être considérés comme très douteux en valeur, mais les informations d'identification d'administration partagées sont toujours mauvaises.

re: considérations spécifiques à Windows telles que les connexions limitées aux services Bureau à distance / Terminal Server: soyez courtois avec vos collègues administrateurs et ne laissez pas de sessions déconnectées traîner. J'ai trouvé que la pression sociale fonctionne assez bien dans les petites organisations (c'est-à-dire en mentionnant fréquemment et fort le fait que l'administrateur XXX ne se souvient pas de déconnecter les serveurs). Vous pouvez toujours démarrer les sessions déconnectées des autres utilisateurs si vous en avez vraiment besoin. Cela ajoute, peut-être, 30 secondes à une tentative de connexion. Dans une organisation plus grande, ou si cela devient un problème majeur, vous pouvez envisager d'implémenter des délais d'expiration de session déconnectée.

Un peu à part, mais qui est probablement sur le sujet puisque vous avez mentionné un consultant informatique: En tant qu'entrepreneur informatique moi-même, je demande toujours un compte d'administration dédié pour moi-même, et je demande de ne pas connaître les informations d'identification d'administration "partagées". Il protège les deux parties et fournit une piste d'audit. Je veux toujours que mes clients aient le sentiment de pouvoir "m'enfermer" à tout moment (et d'avoir cette capacité aussi) parce que je crois que cela envoie un message puissant que je suis confiant dans ma capacité à maintenir la relation avec les fonder sur le mérite de mes compétences et la valeur que j'apporte, et non sur un vague sentiment qu'ils sont «enfermés» pour moi.

Une raison de ne pas avoir plusieurs comptes:
si vous gérez tout à l'aide du bureau à distance, vous pouvez avoir une limite à ceux-ci. Si les gens ferment simplement la session de bureau à distance sans se déconnecter, ils seront rapidement bloqués.

Une raison d'avoir plusieurs comptes:
vous pouvez voir qui était connecté lorsque quelque chose de grave se produit. Vraiment cependant, si vous avez un bon environnement d'équipe, quiconque a fait quelque chose l'admettra.

La réponse d'Evan est bonne. Souvenez-vous également que vous ne devez pas utiliser votre compte administrateur pour le travail quotidien - exécutez toujours les commandes d'administration avec des runas ou similaires si vous exécutez quelque chose directement sur votre poste de travail.

Pour les comptes de service, vous pouvez également désactiver la connexion interactive pour les rendre plus sécurisés.

Un dernier point, assurez-vous d'activer l'audit de sécurité sur vos serveurs et assurez-vous que le journal des événements de sécurité est suffisamment grand (je le règle généralement sur 20 Mo ou plus)