iT邦幫忙

0

停用本機administrator帳號

1.目前公司有導入ISO 27001, 請教哪133項控制措施的哪一項有要求或建議要停用本機administrator帳號? 停用的用意何在? 除了停用之外,是否有替代的方法,可符合這項要求?
2.若有某一台server, 必須有一些固定的備份工作要進行, 是建一個本機帳號, 還是使用網域帳號? 各有何優缺點? 一般要可以定期執行備份的排程, 需要給到本機administrators的群組, 還是給哪一群組便可?

2 個回答

22
花輪
iT邦大師 1 級 ‧ 2009-10-19 22:33:59
最佳解答

1)不論有無ISO 27001,停用windows的administrator account本來就是資安內的一項重要要求。就算是管理員執行一般的管理與維護動作也不應該使用該帳號,管理者應該另建一帳號並賦予「administrators」的權限來使用管理的工作。這樣可以避免有心人士只要猜到administrator的密碼即可侵入系統;使用另建的帳號會使有心人士連account id都要猜,增加其不便。

2)要備份,不管帳號是local或domain,只要賦予該備份者帳號「backup operators」的權限即可,不必一定要 administrator。

zoemama iT邦新手 5 級 ‧ 2009-10-21 20:46:16 檢舉

謝謝回覆...
關於備份的部份, 測試了一下, 使用backup poerators的確可以執行成功, 但如果將備份工作, 設定成為windows 2003控制台的排程來做時, 變會發生權限不足的情況, 關於這個部份, 是否有其他的地方要調整?
若A為Administrators群組成員, b為backup poerators群組成員, 將排程設定為用b的帳號來執行時, 用A帳號來查看排程執行的結果時, 就會出現存取被拒, 可用若排程執行當時, 是以b的帳號登入時, 便可執行成功.到底要如何設定, 才能使得A帳號登入時, 也能讓b建立的排程執行成功?

14
tsaoshunyu
iT邦新手 4 級 ‧ 2009-10-20 13:55:11

問題1:管理者帳號有2種:
1是Domain的Administrator,你必須進入群組原則將Administraotr Rename. 最好也將Guest停用.2是本機的管理者同樣也叫Administrator.這部份則不需停用.通常一台電腦加入網域後.除非他是使用管理者帳號登入.否則一律都只是Power User.一般不大可能叫你停用本機的Administrator,通常是Domain的Administraotr.當然你如果本機的管理者要Rename也是可以的.只要下Gpedit.msc開啓群組原則將管理者Rename亦可,只是如果你有1000台電腦會改到死.沒記錯的話Domain的群組原則好像無法將本機管理者Rename.
問題2.我的答覆同f大

我要發表回答

立即登入回答