Home Page
Articoli
Tips & Tricks
News
Forum
Archivio Forum
Blogs
Sondaggi
Rss
Video
Utenti
Chi Siamo
Contattaci
Username:
Password:
Login
Registrati ora!
Recupera Password
Home Page
Stanze Forum
Windows Server 2000/2003/2008, IIS
Configurazione sicura AD 2003
martedì 11 luglio 2006 - 12.13
Elenco Threads
Stanze Forum
Aggiungi ai Preferiti
Cerca nel forum
luca2212m
Profilo
| Newbie
7
messaggi | Data Invio:
mar 11 lug 2006 - 12:13
Buongiorno,
avrei bisogno di un consiglio: sto installando una nuova struttura di dominio composta da 1 unico dominio e 2 controller (1 principale + 1 addizionale). Ho preventivamente letto la guida per l'installazione sicura di active directory con WS 2003, dove si consiglia di creare 2 account per l'amministratore: 1 account per la normale attività gioranliera e 1 account amministrativo. Qui sorge il dubbio: essendo io l'unico amministratore del dominio, il mio account amministrativo dovrebbe far parte del gruppo "Domain Admins"; solitamente usavo questo account anche per l'amministrazione delle workstation (es. installazione di programmi, installazione di workstation) però viene fortemente sconsigliato l'utilizzo di account "domain admin" sulla rete. Cosa mi consigliate di fare, di crearmi 2 account amministrativi, 1 per l'amministrazione del dominio e 1 per l'amministrazione delle workstation?
Resta sottinteso che ho intenzione di disabilitare l'account Administrator del dominio.
Grazie
Luca
revontulet
Profilo
| Junior Member
106
messaggi | Data Invio:
mer 12 lug 2006 - 14:10
>Buongiorno,
>
> Ho preventivamente letto la guida per l'installazione
>sicura di active directory con WS 2003, dove si consiglia di
>creare 2 account per l'amministratore...
hai letto anche questo :
http://www.microsoft.com/italy/technet/security/topics/serversecurity/administratoraccounts/aapgch02.mspx
?
(per non sovrappore i consigli a quelli di MS)
luca2212m
Profilo
| Newbie
7
messaggi | Data Invio:
mer 12 lug 2006 - 14:29
Si, è proprio quel documento che mi ha fatto nascere i dubbi riguardo alla gestione degli account amministrativi....
revontulet
Profilo
| Junior Member
106
messaggi | Data Invio:
mer 12 lug 2006 - 14:36
>Si, è proprio quel documento che mi ha fatto nascere i dubbi
>riguardo alla gestione degli account amministrativi....
(Per chiarezza mi puoi specificare il paragrafo fonte del dubbio)
Confesso che non e' facile perdere l' abitudine di usare administrator .. comunque in linea di massima la mia abitudine e':
rinominare l' amministratore di dominio e impostargli una pwd ultrastrong
creare un mio account personale con password ultrastrong e includerlo nei domain admins
creare un secondo account personale senza privilegi particolari ( anche per testare appunto la disponibilita' di privilegi non richiesti)
impostare sui server allow logon locally solo per gruppo domain admin
pulire il gruppo administrator sulle wks lasciandovi solo amministratore locale (rinominato anche quello con pwd strong )e i il gruppo domain admin
in aggiunta vi e' anche la soluzione di impostare uno script da policy che resetti la pwd di amministratore locale sulle wks
usare (come detto nel documento ) sempre l' utente con privilegi minimi e il runas
attivare sempre l' audit di security
luca2212m
Profilo
| Newbie
7
messaggi | Data Invio:
gio 13 lug 2006 - 14:11
Quello che mi hai scritto combacia perfettamente con le mie idee, però ho un'ulteriore problematica che dovresti aiutarmi a risolvere: in azienda utilizziamo un programma client-server che necessita spesso di aggiornamenti; sul server non ci sono problemi, ma per effettuare l'update dei client devo eseguire un eseguibile da unità remota mappata localmente; penso tu sappia che il comando "esegui come" funziona solo localmente: come posso effettuare tali operazioni di aggiornamento dalle workstation senza loggarmi come domani admin? Non posso loggarmi come admin di wrkstn xchè gli utenti che non appartengono al dominio non possono accedere alle risorse di rete....
revontulet
Profilo
| Junior Member
106
messaggi | Data Invio:
gio 13 lug 2006 - 15:09
>...tali operazioni di aggiornamento dalle workstation senza loggarmi
>come domani admin? Non posso loggarmi come admin di wrkstn xchè
>gli utenti che non appartengono al dominio non possono accedere
>alle risorse di rete....
Non posso temporaneamente provare ma se ti loggi come admin di wks e mappi un unita di rete non ti chiede le credenziali nella forma dominio\userdominio_conaccessoallashare e pwd ?
Torna su
Stanze Forum
Elenco Threads
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?
Dopo esserti registrato potrai chiedere
aiuto sul nostro
Forum
oppure aiutare gli altri
Consulta le
Stanze
disponibili.
Registrati ora !