windows – 一直以管理员身份登录不好？

在我工作的办公室,IT员工的其他三名成员始终使用属于域管理员组成员的帐户登录到他们的计算机.

我非常担心使用管理员权限(本地或域名)登录.因此,对于日常计算机使用,我使用的帐户只有普通的用户privelages.我还有一个不同的帐户,是域管理员组的一部分.当我需要在我的计算机,服务器之一或其他用户的计算机上执行需要提升特权的操作时,我会使用此帐户.

这里的最佳做法是什么？网络管理员是否应该始终拥有对整个网络的权限(甚至是他们的本地计算机)？

>虚拟机对此非常有效,这就是我解决它的方法.
>我听说组织将其提升的帐户登录限制为内部托管的某些特殊虚拟机,管理员依靠RDP进行访问.
> UAC有助于限制管理员可以执行的操作(访问特殊程序),但持续提示可能同样需要远程连接到整个其他计算机以执行需要的操作.

为什么这是最好的做法？部分是because I said so,其他很多. SysAdminning没有一个以任何确定的方式设置最佳实践的中心机构.在过去十年中,我们已经发布了一些IT安全最佳实践,建议您在实际需要时只使用提升的权限.在过去的40年里,一些最佳实践是通过系统管理员的经验来确定的.来自SANS(link,PDF)的一份来自LANS 1993(link)的论文,来自SANS“关键安全控制”的部分内容(link).

（编辑：ASP站长网）