我的问题是关于在大型 Active Directory 设置中向帮助台人员发放管理权限。
帮助台人员通常需要管理权限才能为最终用户提供支持。我知道这通常是通过创建一个组并将该组添加到每台 PC 上的本地组来完成的(参见[1] [2] [3] )。理想情况下,帮助台工作人员将使用低权限帐户执行日常任务,并且仅在需要时使用他们的帐户。"Workstation Admins"Administrators"Workstation Admins"
系统管理员通常做同样的事情,并在访问服务器时使用具有更高权限的帐户。这是有道理的,因为服务器是受物理和电子保护的受信任机器。因此,使用特权帐户登录服务器基本上是安全的。
但是,帮助台的工作人员将登录可能经常无人看管并用于日常电子邮件或网页浏览的机器。这些计算机不能像服务器一样被信任。很容易想象帮助台的工作人员登录到包含恶意软件负载的计算机,该负载立即在网络中传播,因为它在许多其他计算机上具有管理员权限。
或者更糟糕的是,恶意用户可以通过在他们的计算机上安装键盘记录器,然后让帮助台的某个人登录来执行现实生活中的网络钓鱼诈骗。
有什么方法可以让帮助台员工获得他们需要的访问权限,而不会造成重大风险?(我可以想象一个理想的解决方案是使用一次性密码进行身份验证,并且登录的用户只能被授权为本地管理员。换句话说,我希望帮助台人员可以访问任何计算机,而不是每台电脑。)