Active Directory 管理：7 个常见错误

管理 Active Directory 并不是一件容易的事，但必须有人去做。如果这个“某人”是你，那么你应该永远记住，人类会犯错误，即使他们是 AD 大师。

为了最大限度地降低您在值班时发生此类错误的风险，我将引导您了解最常见的错误，并帮助您确保不再犯同样的错误。

错误＃1。使用具有管理员权限的帐户进行日常使用

如果您不需要此类权限，请不要使用域管理员甚至本地域帐户进行登录。使用普通帐户登录计算机，使用特权/管理员帐户登录以获得更高的访问权限。这种分离的原因是为了避免在使用提升的凭据登录帐户时出现安全漏洞，例如鱼叉式网络钓鱼攻击或恶意软件注入。

错误＃2。将用户添加到域管理员组而不是委派访问权限

忽视最小特权的概念是一个主要的安全问题。考虑使用委派的 Active Directory 安全模型，尤其是对于解锁帐户和重置密码等常见管理任务。您需要仔细评估每个需要与 AD 合作的人的工作职责。考虑可以自动化的特定流程。例如，帮助台角色可能包括重置用户密码、将计算机连接到域以及修改某些安全组的权限。使用 AD 委派最佳实践更有效地管理 AD 委派。

错误＃3。备份/恢复计划不佳

如果有人删除了 Active Directory 对象，您能多快从这种未经授权的更改中恢复？规划和测试恢复选项是所有组织从错误中快速恢复的必要条件。配置并使用 AD 逻辑删除或回收站来恢复 AD 对象。 考虑使用委派的 Active Directory 安全模型，尤其是对于常见的管理任务，例如解锁帐户和重置密码

错误＃4。从域控制器管理 Active Directory

这意味着管理员物理登录到域控制器并从服务器启动管理工具。这种不良做法不仅限于常规 AD 对象管理，也可能发生在组策略管理、DHCP 和 DNS 控制台中。正如最佳实践所建议的，域控制器应仅运行域服务所需的角色（包括 DNS 角色，但切勿使用 DC 作为 DNS；始终将其指向另一个 DC），并且所有日常管理都应在受保护的管理计算机上进行。

错误＃5。不终止陈旧帐户

过时的帐户应该被禁用然后删除，因为如果你不碰它们，前员工或恶意用户就可以利用它们进行数据泄露。健康的AD环境是干净的AD环境。当管理员留下过时的用户、计算机、组甚至 GPO 时，他们也会使环境变得不必要的复杂化。

错误＃6。密码政策不完善

在将密码漏洞归咎于用户的不良习惯之前，您可能需要对照合规性和密码最佳实践检查您的策略。这里只是一些提示：

• 切勿将用户密码设置为永不过期。
• 将服务帐户的密码设置为不过期，然后安排定期重置。
• 对多个帐户使用相同的密码意味着攻击者一旦破坏一项服务就拥有主密钥。
• 对您的工作、个人电子邮件、Facebook 帐户等使用不同的密码。
• 遵循密码最佳实践以更好地管理密码。

错误＃7。没有 Active Directory 审核和监控

监控您的 AD 运行状况并快速解决中断问题。将域控制器上的事件日志大小扩展到最大。始终跟踪 Active Directory 中的更改，尤其是对域管理员组的更改。要跟踪更改，您需要启用审核策略；请遵循最佳实践来正确配置它。跟踪更改肯定会简化您的调查和故障排除过程。

您是否发现列出的任何错误对于您的域来说是常见的？保守秘密，快速纠正它们，并假装您一直像专业人士一样管理 Active Directory！