Xem xét và giảm số lượng tài khoản trong các nhóm quản trị có đặc quyền cao - Trung tâm Microsoft Engage (Trung tâm Dịch vụ)

Tại sao nên xem xét điều này

Thành viên của các nhóm quản trị cấp cao như Quản trị viên doanh nghiệp, Quản trị viên lược đồ, Quản trị viên miền, Nhà điều hành tài khoản và những người khác có nhiều quyền ở cấp độ máy tính, tên miền hoặc rừng. Đây là một rủi ro về bảo mật và hoạt động.

Xem Kỹ sư khách hàng giải thích vấn đề

Bối cảnh và thực tiễn tốt nhất

Active Directory bao gồm một số nhóm quản trị cấp cao, bao gồm Quản trị viên doanh nghiệp, Quản trị viên lược đồ, Quản trị viên miền và Quản trị viên DHCP, v.v.

Các thành viên của một số nhóm đặc quyền này có thể thực hiện các thay đổi trên toàn rừng trong Active Directory, kiểm soát quyền truy cập vào tất cả các bộ điều khiển miền, Hệ thống tên miền (DNS) và các máy chủ khác trong một miền và có thể sửa đổi lược đồ, chi phối cấu trúc và nội dung của toàn bộ thư mục. Quản trị viên có thể tự cấp cho mình toàn quyền sở hữu đối với các đối tượng và sửa đổi quyền truy cập tùy thuộc vào nhóm nâng cao mà họ là thành viên.

Các tài khoản trong các nhóm này phải nằm trong số những tài khoản được bảo vệ nhiều nhất trong một tổ chức. Cần thực hiện các biện pháp phòng ngừa bảo mật bổ sung để đảm bảo rằng chúng không bị lạm dụng hoặc xâm phạm. Cần thực hiện giám sát và kiểm toán tư cách thành viên trong các nhóm đó. Khi có thể, việc sử dụng các nhóm tùy chỉnh với đặc quyền được ủy quyền có thể cung cấp giải pháp an toàn hơn.

Microsoft khuyến nghị giới hạn tư cách thành viên trong các nhóm này là trống (chỉ là thành viên tạm thời) hoặc một số quản trị viên chịu trách nhiệm về tình trạng tổng thể của Dịch vụ Active Directory. Các quản trị viên khác nên nhận được các quyền cụ thể để chỉ sửa đổi các tập hợp con của dịch vụ thư mục hoặc dữ liệu trong mỗi miền bằng cách triển khai mô hình ủy quyền quản trị.

Hành động được đề xuất

Xem xét tư cách thành viên của các nhóm sau:

  • Quản trị viên doanh nghiệp
  • Quản trị viên lược đồ
  • Quản trị viên miền
  • Nhà điều hành tài khoản (nếu có)
  • Người vận hành máy chủ (nếu có)
  • Toán tử in (nếu có)
  • Quản trị viên DHCP
  • DNSAdmins

Đảm bảo rằng tất cả các thành viên trong nhóm đều có lý do chính đáng để có tài khoản trong các nhóm đó.

Cân nhắc tạo các nhóm tùy chỉnh với các quyền được ủy quyền cụ thể và tạo tài khoản quản trị viên trong các nhóm đó. Ngoài ra, chỉ triển khai tư cách thành viên tạm thời, trong đó tài khoản phải được nâng cấp rõ ràng để tham gia một nhóm cụ thể và sau đó bị hạ cấp một lần nữa.

Tìm hiểu thêm

Bảo mật các nhóm quản trị và tài khoản Active Directory

Thiết lập các phương pháp quản trị dịch vụ an toàn

Triển khai các mô hình quản trị có đặc quyền thấp nhất

Tải xuống các phương pháp hay nhất để bảo mật Active Directory