常に管理者としてログインするのは悪いことですか？

これはWindowsドメインであるため、使用しているアカウントはすべてのワークステーションへの完全なネットワークアクセス権を持っている可能性が高いため、何か問題が発生した場合、数秒でネットワーク全体に及ぶ可能性があります。最初のステップは、すべてのユーザーが Least User Access の原則に従って、日々の作業、Webの閲覧、ドキュメントの作成などを行っていることを確認することです。

次に、ドメインアカウントを作成し、そのアカウントにすべてのワークステーションでの管理者特権（PC-admin）を付与し、サーバー管理作業（server-admin）用に別のドメインアカウントを付与します。サーバーが相互に通信できることを心配している場合は、マシンごとに個別のアカウントを作成できます（<x> -admin、<y> -admin）。ドメイン管理ジョブの実行には、必ず別のアカウントを使用してください。

そうすれば、PCの管理者アカウントを使用してセキュリティが侵害されたワークステーションで何かを実行していて、ネットワークを介して他のマシンにアクセスしようとする管理者権限を持っている可能性があれば、何もできなくなります。あなたのサーバーに厄介です。このアカウントを持つことは、個人データに対して何もできないことも意味します。

ただし、スタッフがLUAの原則に取り組んだ場所が1か所わかっているため、私が見た3年間はウイルスが適切に蔓延していなかったと私は言う必要があります。ローカル管理者が全員でサーバー管理者がいるITスタッフがいる同じ場所の別の部門では、いくつかのアウトブレイクがあり、そのうちの1つはネットワーク経由の感染の拡大により、ITのクリーンアップに1週間かかりました。

設定には少し時間がかかりますが、問題が発生した場合、節約できる可能性は非常に大きくなります。

個別のタスクの個別のアカウントは、それを見る最良の方法です。最小特権の原則は、ゲームの名前です。 「admin」アカウントの使用を、「admin」として実行する必要があるタスクに制限します。

Windowsと* nixとでは意見が多少異なりますが、ドメイン管理者についてのあなたの言及は、あなたがWindowsについて話していると思います。

ワークステーションでは、通常は管理者である必要はないので、ほとんどの場合、質問への回答はNOになります。ただし、多くの例外があり、実際にその人がマシンで何をしているかに依存します。

サーバーでは、それは多くの議論のトピックです。私の見解では、サーバーにログオンして管理作業を行うだけなので、ユーザーとしてログオンし、run-asを使用して各個別のツールを実行するのは意味がありません。あなたは何を知っているのか、そしてほとんどの仕事にとってそれは単に管理者の生活を過度に困難にし、時間を浪費させるだけです。ほとんどのWindows管理作業はGUIツールを使用して行われるため、コマンドラインで作業しているLinux管理者などには存在しない安全性があり、単純なタイプミスにより、昨夜のバックアップテープを探しに行く可能性があります。

私の人生は単純です...アカウントは明確に名前が付けられており、すべて異なるパスワードを持っています。

神のアカウント-すべてのサーバー側の作業を行うドメイン管理者

pCを管理するためのdemigodアカウント-共有/サーバーに対する権限はありません-PCに対してのみ

微弱なユーザー-私は自分のPCでパワーユーザーを許可しますが、他のPCでそれらの権限すら持っていません

分離の理由はたくさんあります。議論はないはずです、それをしてください！

地獄に反対票を投じられるリスクがあるが、それは管理者のワークフローに依存していると言わざるを得ない。私個人としては、仕事中に自分のワークステーションで行うほとんどの作業で、これらの管理者資格情報が必要になります。ドメイン管理ツール、サードパーティの管理コンソール、マップされたドライブ、コマンドラインリモートアクセスツール、スクリプトなどの組み込みのものがあります。リストは続きます。開くほとんどすべてのものの資格情報を入力する必要があるのは悪夢です。

通常、管理者権限を必要としないものは、Webブラウザ、電子メールクライアント、IMクライアント、およびPDFビューアです。これらのほとんどは、ログインしてから開いたままです。ログアウトします。管理者の資格情報を使用してログインしてから、すべての低価格アプリを低価格アカウントで実行します。これにより、面倒が少なくなり、安全性が低下しません。