常に管理者としてログインするのは悪いですか？

私が勤務するオフィスでは、ITスタッフの他の3人のメンバーが、ドメイン管理者グループのメンバーであるアカウントを使用して常にコンピューターにログインしています。

管理者権限（ローカルまたはドメイン）でログインすることに深刻な懸念があります。そのため、日常のコンピューター使用には、通常のユーザー特権を持つアカウントを使用します。ドメイン管理者グループの一部である別のアカウントも持っています。自分のコンピューター、サーバーの1つ、または別のユーザーのコンピューターで高い特権を必要とする何かをする必要があるときに、このアカウントを使用します。

ここでのベストプラクティスは何ですか？ネットワーク管理者は、常にネットワーク全体（またはローカルコンピューター）の権限でログインする必要がありますか？

絶対的なベストプラクティスは、Live User、Work Rootです。5分ごとにサーバーフォールトで更新を実行するときにログインしているユーザーは、通常のユーザーです。Exchangeルーティングの問題を診断するために使用するものは、Adminである必要があります。Windowsでは少なくともデュアルログインセッションが必要であり、それは何らかの方法で2台のコンピューターを意味するため、この分離を取得するのは難しい場合があります。

• VMはこれに対して本当にうまく機能し、それが私がそれを解決する方法です。
• 内部でホストされている特定のVMに昇格アカウントをログイン制限し、管理者がアクセスにRDPを使用している組織について聞いたことがあります。
• UACは、管理者ができること（特別なプログラムにアクセスすること）を制限するのに役立ちますが、継続的なプロンプトは、必要なことを行うために他のマシン全体にリモート接続しなければならないのと同じくらい面倒です。

なぜこれがベストプラクティスなのですか？一部は、私がそう言ったからであり、他の多くの人もそうします。SysAdminningには、あらゆる種類の決定的な方法でベストプラクティスを設定する中心機関がありません。過去10年間で、実際に必要な場合にのみ昇格された特権を使用することを提案するITセキュリティのベストプラクティスがいくつか公開されました。ベストプラクティスの一部は、過去40年以上にわたるシステム管理者の経験に基づいて設定されています。LISA 1993からの論文（link）、SANSからの論文（link、PDF）、SANSの「重要なセキュリティ管理」からのセクションがこの（link）に触れています。

これはWindowsドメインであるため、使用しているアカウントはすべてのワークステーションへの完全なネットワークアクセスを持っている可能性が高いため、何か問題が発生した場合、数秒でネットワーク全体にアクセスできます。最初のステップは、すべてのユーザーがLeast User Accessの原則に従って日常業務、Webの閲覧、ドキュメントの作成などを行っていることを確認することです。

次に、ドメインアカウントを作成し、そのアカウントにすべてのワークステーションの管理者特権（PC-admin）と、サーバー管理作業用の別のドメインアカウント（server-admin）を付与します。サーバーが相互に通信できることを懸念している場合は、各マシンに個別のアカウントを設定できます（<x> -admin、<y> -admin）。ドメイン管理ジョブを実行するために別のアカウントを使用してください。

そうすれば、PC管理者アカウントを使用して侵害されたワークステーションで何かをしているときに、ネットワーク経由で他のマシンにアクセスしようとする管理者特権を持つ可能性がありますが、何もできませんあなたのサーバーにとって厄介です。このアカウントを持つことは、個人データに対して何もできないことも意味します。

しかし、スタッフがLUAの原則に取り組んだ場所を知っている1つの場所では、私が見た3年間、適切なウイルス感染がなかったと言わなければなりません。ローカル管理者とサーバー管理者のITスタッフが全員いる同じ場所にある別の部門では、いくつかのアウトブレイクが発生しました。そのうちの1つは、ネットワーク経由での感染拡大によりクリーンアップに1週間かかりました

設定には少し時間がかかりますが、問題が発生した場合の潜在的な節約は莫大です。

個別のタスク用に個別のアカウントを使用するのが最善の方法です。最小特権の原則は、ゲームの名前です。「admin」アカウントの使用を、「admin」として実行する必要があるタスクに制限します。

Windowsと* nixでは意見が多少異なりますが、ドメイン管理者についてのあなたの言及は、あなたがWindowsについて話していると思うので、それが私が答えているコンテキストです。

ワークステーションでは、通常、管理者である必要はないため、ほとんどの場合、質問に対する答えは「いいえ」になります。ただし、多くの例外があり、実際に人がマシンで何をしているのかによって異なります。

サーバー上では、多くの議論のトピックです。私自身の見解では、管理作業を行うためにサーバーにログオンするだけなので、ユーザーとしてログオンしてからrun-asを使用して各ツールを実行するのは意味がありません。あなたが知っていること、そしてほとんどの仕事において、それは単に管理者の人生を過度に困難で時間のかかるものにします。ほとんどのWindows管理作業はGUIツールを使用して行われるため、コマンドラインで作業しているLinux管理者には存在しない程度の安全性があります。

私の人生はシンプルです...アカウントには独特の名前が付けられており、すべて異なるパスワードを持っています。

神アカウント-すべてのサーバー側の作業を行うドメイン管理者

PCを管理するためのdemigodアカウント-共有/サーバーに対する権限はありません-PCのみ

弱いユーザー-自分のPCでパワーユーザーを許可しますが、他のPCでもこれらの権限を持っていません

分離の理由はたくさんあります。引数はないはずです、それをしてください！

地獄への反対票を投じられるリスクはありますが、それは管理者のワークフローに依存すると言わざるを得ません。個人的には、仕事中にワークステーションで行うことの大半は、これらの管理者資格情報が必要になります。ドメイン管理ツール、サードパーティの管理コンソール、マップされたドライブ、コマンドラインリモートアクセスツール、スクリプトなどの組み込みのものがあります。リストは続きます。開いたほぼすべてのアイテムに資格情報を入力しなければならないのは悪夢です。

通常、管理者特権を必要としないのは、Webブラウザー、メールクライアント、IMクライアント、PDFビューアーのみです。そして、それらのほとんどは、ログインしてからログアウトするまで開いたままです。そこで、管理者の資格情報でログインしてから、低プライバシーアカウントで低プライバシーアプリをすべてRunAsします。面倒なことはずっと少なく、そうすることで安全性が低下することはありません。