ร่างสถานการณ์สั้นๆ:
ฉันสืบทอดสภาพแวดล้อมของลูกค้าที่อุปกรณ์ทั้งหมดเข้าร่วม Azure AD และจัดการผ่าน Intune บัญชี Azure AD ที่ผู้ใช้เข้าสู่ระบบคือผู้ดูแลระบบภายในเครื่อง
ฉันจำเป็นต้องตั้งค่าให้ผู้ใช้ทั้งหมดถูกบังคับให้ใช้บัญชีผู้ดูแลระบบรองเฉพาะสำหรับกิจกรรมที่ยกระดับทั้งหมด และบัญชีประจำวันของพวกเขาไม่ควรเป็นผู้ดูแลระบบภายในอีกต่อไป (หมายความว่า ผู้ใช้ต้องป้อนรหัสผ่านอื่นเมื่อได้รับ UAC พร้อมท์ แทนที่จะคลิก ใช่) ผู้ใช้เหล่านี้เป็นนักพัฒนาและพวกเขาต้องการความสามารถในการเรียกใช้สิ่งต่างๆ ในฐานะผู้ดูแลระบบ ดังนั้นพวกเขาจึงควรรู้รหัสผ่านของผู้ดูแลระบบ
มีคำแนะนำเกี่ยวกับเรื่องนี้อย่างไร?
FYI: เหตุผลที่อยู่เบื้องหลังสิ่งนี้คือการปฏิบัติตามการควบคุม CIS ในกรณีนี้ 4.3
สิ่งที่ฉันได้พิจารณา
ฉันรู้ว่าฉันสามารถส่งผู้ดูแลระบบภายในเพิ่มเติมไปยังคอมพิวเตอร์ทุกเครื่องผ่านทาง Intune จากนั้นจึงลบบัญชีอื่นๆ ออกจากกลุ่มผู้ดูแลระบบ อย่างไรก็ตาม นี่หมายความว่าฉันจะตั้งรหัสผ่านผู้ดูแลระบบสำหรับคอมพิวเตอร์ทุกเครื่องให้เป็นรหัสเดียวกัน ซึ่งเป็นข้อกังวลด้านความปลอดภัย ถ้าฉันจะทำเช่นนี้ มีวิธีบังคับให้พวกเขาเปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบหรือไม่?
ฉันได้อ่านเกี่ยวกับโซลูชัน DIY LAPS ผ่าน Intune ซึ่งจะตั้งรหัสผ่านแบบสุ่ม แต่ผู้ใช้ต้องทราบรหัสผ่านนั้นและสามารถจดจำได้
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
