Gode retningslinjer for administratorkontoer i domene
Når du setter opp Active Directory for første gang opprettes noe som kalles en skog, i tillegg opprettes ditt domene som rot-domene i denne skogen. En skog kan på et vis tenkes på som et slags konsern og domenet ditt for ditt firma i dette konsernet. Når du eventuelt oppretter flere domener så blir det å tenke på som datterselskap i dette konsernet.
Mange norske IT-teknikere bruker kontoen Administrator for vanlige operative gjøremål. Det er ikke nødvendigvis så trygt, da denne kontoen er mer enn bare en administratorkonto. Den har spesielt opphøyede rettigheter i organisasjonen da den er medlem av gruppene "Enterprise Admin", "Schema Admin" og "Domain Admin"-gruppene.
Bruk av denne vanskeliggjør oversikt over ansvar og hvem som utfører hvilken handling dersom dere er flere. I rot-domenet i en skog er "Users\Administrator" medlem av "BuiltIn\Administrators", "Users\Domain Admins", "Users\Domain Users", "Users\Enterprise Admins", "Users\Group Policy Creator Owners" og "Users\Schema Admins".
Du bør vurdere å opprette egne Administrator-kontoer for hver IT-administrator. Dermed kan du benytte deg av logging av handlinger og delegere rettigheter til disse kontoene.
I "Active Directory Users and Computers" finner du en container (mappe) som kalles for "Builtin". I denne finnes det noen ferdige grupper som du kan legge brukere i.
Legg en bruker i:• Account Operators – for å arbeide med brukerkontoer, samt foreta omstart eller shutdown av server-maskin.
• Backup Operators – for å omgå sikkerhetsperrer for å sikkerhetskopiere filer.
• Print Operators – for å administrere printerkøer.
• Server Operators – for å administrere domene-servere.
• En egen opprettet "Domain Local Group" som du så delegerer rettigheter til. Se eget tips om dette.