การปฏิบัติที่ดีที่สุดคือมีการเข้าสู่ระบบแยกต่างหากสำหรับโดเมนสำหรับผู้ดูแลโดเมนหรือไม่


33

โดยทั่วไปฉันต้องการตั้งค่าการเข้าสู่ระบบแยกต่างหากสำหรับตัวเองส่วนหนึ่งด้วยสิทธิ์ผู้ใช้ปกติและอีกรายการหนึ่งสำหรับงานด้านการดูแลระบบ ตัวอย่างเช่นหากโดเมนเป็น XXXX ฉันจะตั้งค่า XXXX \ bpeikes และบัญชี XXXX \ adminbp ฉันทำมาตลอดเพราะฉันไม่เชื่อว่าตนเองจะเข้าสู่ระบบในฐานะผู้ดูแลระบบ แต่ในทุก ๆ ที่ที่ฉันทำงานผู้ดูแลระบบดูเหมือนจะเพิ่มบัญชีปกติของพวกเขาไปยังกลุ่ม Domain Admins

มีวิธีปฏิบัติที่ดีที่สุดหรือไม่? ฉันเคยเห็นบทความจาก MS ที่ดูเหมือนว่าคุณควรใช้ Run As และไม่ใช่เข้าสู่ระบบในฐานะผู้ดูแลระบบ แต่พวกเขาไม่ได้ยกตัวอย่างของการนำไปใช้และฉันไม่เคยเห็นใครทำเลย


1
ในฐานะที่เป็นคนที่ทำงานเป็นหลักใน Linux / Unix และไม่ใช่ผู้เชี่ยวชาญ Windows นี่คือสิ่งที่ UAC ควรแก้ไขหรือไม่ โดยที่ฉันหมายถึงเพื่อให้สามารถใช้หนึ่งบัญชี แต่ยังมีกระบวนการที่ได้รับอนุญาตเท่านั้นที่ได้รับสิทธิ์ระดับผู้ดูแลระบบ
Dolda2000

@ Dolda2000 UAC เป็นมากกว่าสำหรับผู้ใช้ปลายทางในการทำงานเป็นผู้ดูแลระบบในเครื่องของพวกเขา มีข้อกังวลเพิ่มเติมเมื่อคุณใช้งานในฐานะผู้ดูแลระบบโดเมนบนเครื่องท้องถิ่นของคุณ - ข้อมูลประจำตัวและการเข้าถึงของคุณสามารถใช้งานได้แย่กว่าการติดตั้งไวรัสบนเครื่องของคุณเป็นจำนวนมาก ทั้งโดเมน
HopelessN00b

1
@ HopelessN00b: และคุณกำลังบอกว่า UAC ไม่สามารถใช้กับสิ่งเหล่านั้นได้? ทำไมไม่ มีเหตุผลทางเทคนิคหรือมีการนำไปใช้งานไม่เพียงพอหรือไม่
Dolda2000

2
@ Dolda2000 เอ่อ UAC ควรแก้ไขปัญหาด้วยมัลแวร์ที่สามารถใช้บริบทผู้ใช้ของผู้ใช้ที่เข้าสู่ระบบเพื่อติดตั้งตัวเองบนพีซีของผู้ใช้ปลายทางและผู้บริโภค และมันก็เป็นเช่นนั้น นอกจากนี้ยังจะบล็อกเวกเตอร์เฉพาะนั้นจากการใช้บริบทผู้ใช้ของผู้ดูแลโดเมนเพื่อติดตั้งมัลแวร์ในเครื่องอย่างไรก็ตามนั่นไม่ใช่ขอบเขตของปัญหาด้านความปลอดภัยที่เกี่ยวข้องในการทำงานในฐานะผู้ดูแลระบบโดเมนแทนที่จะเป็นผู้ใช้ที่ จำกัด
HopelessN00b

1
@ Dolda2000 UAC ป้องกันกระบวนการจากการดำเนินการฟังก์ชั่นพิเศษบนเครื่องท้องถิ่น หากคุณลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบโดเมนคุณสามารถเรียกใช้คำสั่งสิทธิพิเศษจากระยะไกลบนเครื่องอื่น ๆ และพวกเขาจะเรียกใช้การยกระดับบนเครื่องระยะไกลโดยไม่ต้องแจ้ง UAC ดังนั้นมัลแวร์ที่ออกแบบมาเพื่อใช้ประโยชน์จากสิ่งนี้สามารถทำให้โดเมนทั้งหมดของคุณติดเชื้อ (และติดเชื้อในเครื่องของคุณโดยใช้เครื่องอื่นจากระยะไกล) โดยที่คุณไม่เห็นพรอมต์ UAC
Monstieur

คำตอบ:


25

"แนวปฏิบัติที่ดีที่สุด" โดยทั่วไปจะกำหนด LPU (ผู้ใช้ที่มีสิทธิ์น้อยที่สุด) ... แต่คุณถูกต้อง (เช่น ETL และ Joe ดังนั้น +1) ที่ผู้คนไม่ค่อยติดตามรุ่นนี้

คำแนะนำส่วนใหญ่จะทำตามที่คุณพูดว่า ... สร้าง 2 บัญชีและไม่แชร์บัญชีเหล่านั้นกับผู้อื่น บัญชีหนึ่งไม่ควรมีสิทธิ์ของผู้ดูแลระบบแม้กระทั่งเวิร์กสเตชันท้องถิ่นที่คุณใช้ในทางทฤษฎี แต่อีกครั้งที่ปฏิบัติตามกฎนั้นโดยเฉพาะกับ UAC ในทุกวันนี้ (ซึ่งในทางทฤษฎีควรเปิดใช้งาน)

มีหลายปัจจัยที่ทำให้คุณอยากไปเส้นทางนี้ คุณต้องคำนึงถึงความปลอดภัยความสะดวกสบายนโยบายขององค์กรข้อ จำกัด ด้านกฎระเบียบ (ถ้ามี) ความเสี่ยง ฯลฯ

การรักษาDomain AdminsและAdministratorsกลุ่มระดับโดเมนให้ดีและสะอาดด้วยบัญชีน้อยที่สุดเป็นความคิดที่ดีเสมอ แต่อย่าแชร์บัญชีผู้ดูแลโดเมนทั่วไปหากคุณสามารถหลีกเลี่ยงได้ ไม่อย่างนั้นมีความเสี่ยงที่จะมีคนทำบางสิ่งบางอย่างจากนั้นใช้นิ้วชี้ไปมาระหว่าง sysadmins ของ "ไม่ใช่ฉันที่ใช้บัญชีนั้น" ดีกว่าที่จะมีบัญชีบุคคลหรือใช้สิ่งที่ต้องการ CyberArk EPA เพื่อตรวจสอบได้อย่างถูกต้อง

นอกจากนี้ในบรรทัดเหล่านี้Schema Adminsกลุ่มของคุณควรว่างเปล่าเสมอเว้นแต่คุณจะทำการเปลี่ยนแปลงสคีมาแล้วจึงใส่บัญชีเข้าทำการเปลี่ยนแปลงและนำบัญชีออก เช่นเดียวกันอาจกล่าวได้ว่าEnterprise Adminsโดยเฉพาะในรูปแบบโดเมนเดียว

คุณไม่ควรอนุญาตให้บัญชีที่มีสิทธิพิเศษให้ VPN เข้าสู่เครือข่าย ใช้บัญชีปกติแล้วยกระดับตามที่ต้องการเมื่ออยู่ภายใน

ท้ายที่สุดคุณควรใช้ SCOM หรือ Netwrix หรือวิธีอื่นในการตรวจสอบกลุ่มที่มีสิทธิพิเศษใด ๆ และแจ้งกลุ่มที่เหมาะสมในด้านไอทีเมื่อใดก็ตามที่สมาชิกของกลุ่มเหล่านี้มีการเปลี่ยนแปลง สิ่งนี้จะช่วยให้คุณพูดได้ว่า "รอสักครู่ทำไมจึงเป็นเช่นนั้นผู้ดูแลโดเมน" เป็นต้น

ในตอนท้ายของวันมีเหตุผลที่เรียกว่า "การปฏิบัติที่ดีที่สุด" และไม่ใช่ "การฝึกฝนเท่านั้น" ... มีกลุ่มตัวเลือกที่ยอมรับได้ซึ่งขึ้นอยู่กับความต้องการและปรัชญาของพวกเขาเอง บางคน (เช่นโจพูด) ขี้เกียจ ... ในขณะที่คนอื่นไม่สนใจเพราะพวกเขาไม่สนใจที่จะเสียบช่องโหว่ด้านความปลอดภัยหนึ่งช่องเมื่อมีคนนับร้อยและยิงทุกวันเพื่อต่อสู้ อย่างไรก็ตามเมื่อคุณได้อ่านสิ่งเหล่านี้แล้วให้พิจารณาหนึ่งในตัวคุณที่จะต่อสู้กับการต่อสู้ที่ดีและทำสิ่งที่คุณทำได้เพื่อรักษาความปลอดภัย :)

อ้างอิง:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx


สิทธิ์อย่างน้อยส่วนใหญ่จะใช้กับบัญชีที่ไม่ใช่ผู้ดูแลระบบ การแยกข้อมูลรับรองไม่ได้ช่วยในมุมมองที่น้อยที่สุดหากใช้เครดิตในระบบที่สกปรกโดยเครดิตที่มีสิทธิ์ต่ำกว่า
Jim B

จริง แต่ฉันคิดว่า "LPU" หมายถึงเพียงให้สิทธิ์การเข้าถึงกลุ่มที่มีสิทธิ์เท่านั้น ฝ่ายไอทีจำนวนมาก ให้สิทธิ์การเข้าถึง DA เพียงเพราะง่ายกว่าจัดการกับคำขอมากมายสำหรับการเข้าถึง
TheCleaner

28

AFAIK ถือว่าเป็นแนวปฏิบัติที่ดีที่สุดสำหรับผู้ดูแลระบบโดเมน / เครือข่ายที่มีบัญชีผู้ใช้มาตรฐานสำหรับการเข้าสู่ระบบเวิร์กสเตชันเพื่อทำงาน "ผู้ใช้" ตามปกติ (อีเมลเอกสาร ฯลฯ ) และมีบัญชีผู้ดูแลระบบที่เหมาะสม การเป็นสมาชิกกลุ่มเพื่อให้พวกเขาสามารถทำงานด้านการดูแลระบบได้

นี่คือรูปแบบที่ฉันพยายามติดตามแม้ว่าจะเป็นเรื่องยากที่จะนำไปปฏิบัติหากพนักงานไอทีที่มีอยู่ไม่คุ้นเคยกับการทำเช่นนี้

โดยส่วนตัวแล้วถ้าฉันพบว่าพนักงานไอทีที่มีความสามารถที่จะก้าวไปในทิศทางนี้ฉันเห็นว่าพวกเขาขี้เกียจไม่มีประสบการณ์หรือพวกเขาไม่เข้าใจวิธีการบริหารระบบ


12

นี่เป็นวิธีปฏิบัติที่ดีที่สุดสำหรับเหตุผลด้านความปลอดภัย ดังที่คนอื่น ๆ พูดถึงมันป้องกันคุณจากการทำบางอย่างโดยไม่ตั้งใจหรือจากการที่คุณถูกโจมตีจากการเบราส์เครือข่าย นอกจากนี้ยังจำกัดความเสียหายที่การเรียกดูส่วนตัวของคุณสามารถทำได้ - โดยเฉพาะอย่างยิ่งการทำงานประจำวันของคุณไม่ควรมีสิทธิ์ผู้ดูแลระบบท้องถิ่น

นอกจากนี้ยังมีประโยชน์อย่างเหลือเชื่อในการตอบโต้Pass the Hashหรือ Windows hijacks token authentication ( ตัวอย่าง ) การทดสอบการเจาะที่เหมาะสมจะพิสูจน์ได้อย่างง่ายดาย กล่าวคือเมื่อผู้โจมตีเข้าถึงบัญชีผู้ดูแลระบบในพื้นที่พวกเขาจะใช้พลังนั้นในการโยกย้ายเข้าสู่กระบวนการด้วยโทเค็น Domain Admin จากนั้นพวกเขาก็มีพลังเหล่านั้นอย่างมีประสิทธิภาพ

สำหรับตัวอย่างของคนที่ใช้สิ่งนี้ บริษัท ของฉันทำ! (200ish คน, 6 คนเลือกทีม) อันที่จริงผู้ดูแลโดเมนของเรามีบัญชี -THREE- หนึ่งสำหรับการใช้งานทุกวันหนึ่งสำหรับการจัดการ / ติดตั้งซอฟต์แวร์ในเครื่อง ที่สามคือบัญชี Domain Admin และใช้เพื่อการจัดการเซิร์ฟเวอร์และโดเมนเท่านั้น ถ้าเราต้องการที่จะหวาดระแวง / ปลอดภัยมากขึ้นที่สี่อาจจะอยู่ในลำดับ


สามบัญชี ... น่าสนใจ ... ฉันต้องพิจารณาว่าสำหรับการเปลี่ยนแปลงโดเมนที่ปรากฏใน บริษัท ของฉัน ...
pepoluan

1
เหมือนกันใน บริษัท ของฉัน บัญชีเดสก์ท็อปปกติบัญชีผู้ดูแลระบบสำหรับการเข้าถึงของผู้ดูแลระบบภายในคอมพิวเตอร์ไคลเอนต์และบัญชีผู้ดูแลเซิร์ฟเวอร์แยกต่างหาก บัญชีผู้ดูแลทั้งสองไม่ได้รับอีเมลและไม่มีอินเทอร์เน็ต ปัญหาเดียวคือว่าบัญชีผู้ดูแลเซิร์ฟเวอร์ต้องการสิทธิ์ผู้ดูแลท้องถิ่นบนเวิร์กสเตชันหรือมิฉะนั้น UAC จะรบกวนการเรียกใช้ MMC ภายในด้วย RunAs เป็นบัญชีผู้ดูแลเซิร์ฟเวอร์ (สามารถใช้ RDP กับเซิร์ฟเวอร์และเรียกใช้ทุกอย่างจากที่นั่นได้ แต่นั่นก็เป็นสิ่งที่ขัดขวางบางครั้งถ้าคุณต้องการคัดลอก / วางหรือเปรียบเทียบกับข้อมูลที่ทำงานบนบัญชีเดสก์ท็อป)
Tonny

เราจัดการให้ทำได้ดีมากโดยให้ Domain Admins RDP ของเราไปยังเซิร์ฟเวอร์สำหรับการจัดการ การคัดลอกและวางย้ายไปตาม RDP ได้อย่างน่าอัศจรรย์ และเซิร์ฟเวอร์เดียวนั้นได้ติดตั้งยูทิลิตี้การจัดการของเราทั้งหมดแล้ว แต่ที่ถูกกล่าวว่า ... ฉันเชื่อว่ากลุ่ม Domain Admins มีสิทธิ์ผู้ดูแลระบบท้องถิ่นโดยค่าเริ่มต้น ฉันแค่ชอบข้อมูลประจำตัวเหล่านั้นไม่เคยสัมผัสเดสก์ท็อปเพื่อป้องกันการโจรกรรมโทเค็นและไม่ชอบ
Christopher Karel

8

ในอดีต บริษัท ของฉันฉันยืนยันว่าผู้ดูแลระบบทั้งหมดมี 2 บัญชีคือ:

  • โดเมน \ st19085
  • DOMAIN \ st19085a ("a" สำหรับผู้ดูแลระบบ)

เพื่อนร่วมงานลังเลในตอนแรก แต่มันกลายเป็นกฎง่ายๆเมื่อคำถามทั่วไปเกี่ยวกับภัยคุกคามไวรัส "เราได้รับโปรแกรมป้องกันไวรัส" ถูก debunked โดยฐานข้อมูลไวรัสที่ล้าสมัย ...

  • ตามที่คุณกล่าวถึงคำสั่งRUNASสามารถใช้ได้ (ฉันเคยมีแบตช์สคริปต์นำเสนอเมนูที่กำหนดเองเรียกใช้งานเฉพาะด้วยคำสั่ง RUNAS)

  • สิ่งหนึ่งคือการใช้ของของ Microsoft Management Consoleคุณสามารถบันทึกเครื่องมือที่คุณต้องการและการเปิดตัวพวกเขาด้วยการคลิกขวา , Run เป็น ...และบัญชีผู้ดูแลระบบโดเมนของคุณ

  • สุดท้าย แต่ไม่ท้ายสุดฉันเคยเปิดตัว PowerShell shell ในฐานะ Domain Admin และเปิดสิ่งที่ฉันต้องการจากที่นั่น

6
นี่คือการใช้งานที่ฉันใช้ (และบังคับให้คนอื่น ๆ ) ทุกที่ที่ฉันมีการพูดในนั้น คุณเข้าสู่ระบบคอมพิวเตอร์ของคุณและทำงานประจำวันในฐานะผู้ใช้ปกติเหมือนคนอื่น ๆ เมื่อคุณต้องการสิทธิ์ผู้ดูแลระบบคุณRun As/ Run as Administratorและใช้บัญชีผู้ใช้ที่เป็นผู้ดูแลระบบ เพียงแค่ใช้บัญชีเดียวสำหรับทุกสิ่งเป็นการรักษาความปลอดภัยที่ไม่ดีและจากประสบการณ์ของฉันคนที่คัดค้านเป็นคนโง่ที่ต้องแยกตัวออกจากการทำงานทุกอย่างในฐานะผู้ดูแลระบบอยู่แล้ว
HopelessN00b

+1 การสังเกตที่ยอดเยี่ยมโดย @ HopelessN00b: "คนที่คัดค้านคือคนที่ต้องถูกโดดเดี่ยวจากการทำงานทุกอย่างในฐานะผู้ดูแลระบบ"
mr.b

ที่จริงแล้วคุณควรใช้เวิร์กสเตชันแยกต่างหากที่ถูกล็อคเพื่อให้ทำงานเฉพาะผู้ดูแลระบบ
Jim B

4

ฉันได้ทำงานในสถานที่ที่ทำได้ทั้งสองทางและโดยทั่วไปแล้วต้องการมีบัญชีแยกต่างหาก จริงๆแล้วมันเป็นวิธีที่ง่ายกว่ามากตรงกันข้ามกับสิ่งที่ผู้ใช้ / ลูกค้าไม่เต็มใจที่ดูเหมือนจะคิดของ joeqwerty:

ข้อดีของการใช้บัญชีปกติของคุณทุกวันสำหรับกิจกรรมการดูแลโดเมน: Yay เครื่องมือการดูแลทั้งหมดทำงานบนเวิร์กสเตชันของฉันโดยไม่มี Runas! w00t!

ข้อเสียของการใช้บัญชีปกติของคุณทุกวันสำหรับกิจกรรมการดูแลโดเมน: กลัว ;) เทคโนโลยีเดสก์ท็อปขอให้คุณดูเครื่องเพราะเขาไม่สามารถเข้าใจได้ว่ามีอะไรผิดปกติคุณเข้าสู่ระบบมีไวรัส ถอดสายเคเบิลเครือข่ายเปลี่ยนรหัสผ่าน (ที่อื่น) เมื่อผู้จัดการถามคุณว่าทำไมคุณไม่ได้รับอีเมลที่ทำงานบน blackberry ส่วนตัวของคุณผ่านผู้ให้บริการโทรศัพท์มือถือคุณจะได้รับอธิบายว่าพวกเขาเก็บรหัสผ่าน DOMAIN ADMIN ของคุณไว้บนเซิร์ฟเวอร์เมื่อคุณทำเช่นนั้น ฯลฯ รหัสผ่านที่มีสิทธิ์สูงของคุณใช้สำหรับสิ่งต่าง ๆ เช่น ... เว็บเมล, VPN, เข้าสู่ระบบบนหน้าเว็บนี้ (เช่น) (เพื่อความเป็นธรรมบัญชีของฉันถูกบล็อกจากหน้าเว็บ "เปลี่ยนรหัสผ่านของคุณ" ดังนั้นอย่างน้อยก็มีเช่นนั้นถ้าฉันต้องการเปลี่ยนรหัสผ่าน LDAP เก่าของฉันซึ่งหน้าเว็บซิงค์แล้วฉันต้องไป ไปที่โต๊ะทำงานของเพื่อนร่วมงาน)

ข้อดีของการใช้บัญชีอื่นสำหรับกิจกรรมการดูแลโดเมน: เจตนา บัญชีดังกล่าวมีไว้สำหรับเครื่องมือการดูแลระบบและไม่ใช่สำหรับอีเมล, เว็บเมล, VPN, การเข้าสู่ระบบหน้าเว็บ ฯลฯ ดังนั้นจึงไม่กลัวว่ากิจกรรม "ผู้ใช้" ปกติของฉันจะทำให้ทั้งโดเมนมีความเสี่ยง

ข้อเสียของการใช้บัญชีอื่นสำหรับกิจกรรมการดูแลโดเมน: ฉันต้องใช้ runas สำหรับเครื่องมือการดูแลระบบ นั่นไม่ใช่ความเจ็บปวด

รุ่น TL; DR: การมีบัญชีแยกต่างหากนั้นง่ายกว่าเดิม นอกจากนี้ยังเป็นวิธีที่ดีที่สุดเป็นมันน้อยสิทธิ์ที่จำเป็น


2

Least Priv ควรมีเหตุผลเพียงพอ แต่ในกรณีที่ไม่ใช่นั้นให้พิจารณาด้วยเช่นกันว่าหากคุณใช้บัญชีที่มีสิทธิ์เช่นเดียวกับผู้ใช้ของคุณคุณมีแนวโน้มที่จะประสบปัญหาใด ๆ บ่อยเกินไปก่อนที่พวกเขาจะได้เห็นพวกเขา!

ไม่มีอะไรเลวร้ายไปกว่าผู้ดูแลระบบที่บอกว่า "ใช้งานได้สำหรับฉัน" และปิดตั๋ว :)


+1 สำหรับการรับรู้ว่าการใช้บัญชีระดับผู้ใช้รายวันช่วยปรับปรุงประสิทธิภาพการแก้ไขปัญหา
ฉันพูดว่า Reinstate Monica

1

ในทุกทฤษฎีเป็นการดีที่สุดที่คุณจะไม่ใช้การเข้าสู่ระบบของผู้ดูแลระบบระดับสูงสำหรับกิจกรรมประจำวันของคุณ มีเหตุผลมากมายเช่นไวรัส - หากคุณได้รับไวรัสและคุณใช้การเข้าสู่ระบบ Domain Admin แล้วไวรัสมีวิธีที่ง่ายในการเข้าถึงเครือข่ายของคุณเข้าถึงแบบเต็ม! ความผิดพลาดที่เป็นไปได้นั้นง่ายกว่าที่จะทำอย่างแน่นอน แต่ฉันไม่เห็นว่าเป็นความท้าทายที่ยิ่งใหญ่ที่สุด หากคุณไปรอบ ๆ มหาวิทยาลัยและเข้าสู่ระบบด้วยผู้ดูแลระบบระดับสูงของคุณอาจมีบางคนมองข้ามรหัสผ่านของคุณ ทุกสิ่งเช่นนั้น

แต่มันใช้ได้จริงไหม? ฉันพบว่ามันยากที่จะปฏิบัติตามกฎนั้น แต่ฉันต้องการที่จะปฏิบัติตาม


0

เพิ่ม 2 เซนต์ของฉันตามประสบการณ์จริง ..

การรู้และตระหนักว่าคุณกำลังใช้บัญชีผู้ดูแลระบบสำหรับงานประจำวันของคุณทำให้คุณระมัดระวังในทุกสิ่งที่คุณทำ ดังนั้นคุณจึงไม่เพียงแค่คลิกที่อีเมล / ลิงค์หรือเพียงแค่เรียกใช้แอปพลิเคชันใด ๆ โดยไม่ต้องตรวจสอบสามครั้ง ฉันคิดว่ามันทำให้คุณอยู่ที่นิ้วเท้าของคุณ

การใช้บัญชีที่มีสิทธิ์น้อยที่สุดสำหรับงานประจำวันของคุณจะทำให้คุณขาดความระมัดระวัง


นั่นเป็นทฤษฎีที่ดี แต่จากประสบการณ์ของฉันมันไม่ทำงาน (อย่างน้อยก็ไม่ใช่สำหรับทุกคน) ฉันเคยเห็นเพื่อนร่วมงานลบข้อมูลจำนวนมากจากระบบการผลิตโดยความผิดพลาด (ว่างเปล่าในตำแหน่งที่ไม่ถูกต้องในบรรทัดคำสั่งก็เพียงพอแล้ว)
เจอรัลด์ชไนเดอร์

ไม่ใช่ทฤษฎีเราฝึกฝนที่นี่ ;-) ในประสบการณ์ของฉันคุณได้ค้นหาคนที่คุณจะให้สิทธิพิเศษเช่นนี้และไม่ใช่แค่มอบให้พวกเขาเพื่อขอ
badbanana
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.