公司最近要導入ISO27001,其中一項要求是管理員帳號名稱不得為"administrator"
雖然我們公司的網域管理沒有太多複雜的設定跟要求,但網域管理這一塊我也沒有很熟悉,當初交接給我的也只有各種帳號密碼(然後交接的人就閃了),我沒有受過正式的訓練,很多內容我需要自己摸索,我本來的想法是,直接在Active Directory點選administrator的帳號內容,在登入名稱這邊做修改(改了紅框處):
改完之後我測試我可以正常登入,但是我發現AD server這台電腦的控制台突然開啟不了了,出現提示「帳戶名稱與安全性識別碼無法對應」,嚇得我趕緊改了回去
我又不敢停用這個帳號創另一個新的管理員帳號取代,怕有權限漏掉,
所以想來請問有沒有比較正確的方式去做修改(也許從Active Directory管理中心那邊去改?),謝謝大家
環境:windows server 2019 standard
已邀請的邦友 {{ invite_list.length }}/5
是不是正確我不知道,我也只是看別人的設定。
我看到有人是用群組原則把Administrator名字改掉而已。
這邊有微軟的文件(只知有設定但不知道在哪一層就順便挖出來xD)
https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/rename-administrator-and-guest-account
另外別台套用GPO伺服器掉出網域或開機時斷網就會打回原型,登入時要用原本的Administrator帳戶名。
如果是沒加網域的就要一台一台手動設本機群組原則,優點是斷網或退出網域也有效,缺點就自行思考吧。
感謝回答,這樣我至少知道本地的要怎麼改了,網域的我再研究研究
其實本機原則和網域用群組原則(GPO)都是設定同一個東西,只是一個設定在AD的GPO內一個設定在gpedit.msc。
然後我文內講群組原則但是手邊沒AD就用本機原則截圖示意了xD
除非AD和網域電腦的作業系統差太多代,部分參數已修改或多了才比較需要注意。之前遇過就Win2012的GPO設定在Win2022上看到WSUS參數意思有變。最近有看到Win10和Win11沒差的就是Win11把防火牆名詞前面加上Windows Defender。
電腦原則套用通常是GPO優先本機原則(可以改優先順序)。可以用rsop.msc去查該電腦套用結果,假如兩邊都有設定就會顯示哪個優先。
我會在預設群組原則設定:
電腦設定-->安全性設定-->本機原則-->帳戶:重新命名系統管理員帳戶
我習慣在Administrator前面新增一個英文單字就好,可依照喜好自訂
以我會在前面加一個網域名稱前的第一個英文單字,好記!
例如:xAdministrator,這就是我的管理員帳號。
iThome鐵人賽
看影片追技術