सेवा खातों के लिए सर्वोत्तम अभ्यास क्या हैं?

हम एक साझा डोमेन खाते का उपयोग करके अपनी कंपनी में कई सेवाएँ चला रहे हैं। दुर्भाग्य से, इस खाते के लिए क्रेडेंशियल्स व्यापक रूप से वितरित किए जाते हैं और सेवा और गैर-सेवा उद्देश्यों के लिए अक्सर उपयोग किए जाते हैं। इसने एक ऐसी स्थिति पैदा कर दी है, जहां यह संभव है कि इस साझा खाते के लॉक होने के कारण सेवाएं अस्थायी रूप से कम हो जाएंगी।

जाहिर है, इस स्थिति को बदलने की जरूरत है। योजना एक नए खाते के तहत चलाने के लिए सेवाओं को बदलने की है, लेकिन मुझे नहीं लगता कि यह काफी दूर तक जाता है, क्योंकि यह खाता उसी लॉकिंग नीति के अधीन है।

मेरा प्रश्न यह है: क्या हमें सेवा खातों को अन्य डोमेन खातों की तुलना में अलग-अलग स्थापित करना चाहिए, और यदि हम करते हैं, तो हम उन खातों का प्रबंधन कैसे करते हैं। कृपया ध्यान रखें कि हम 2003 डोमेन चला रहे हैं, और डोमेन कंट्रोलर को अपग्रेड करना निकट अवधि में व्यवहार्य समाधान नहीं है।

कुछ विचार:

• प्रति सेवा एक खाता, या शायद आपके पर्यावरण के आधार पर प्रति सेवा प्रकार।

• खाते डोमेन खाते होने चाहिए।

• खातों में एक मजबूत पासवर्ड होना चाहिए जो समाप्त नहीं होता है *। आदर्श रूप से एक यादृच्छिक पासवर्ड उत्पन्न होता है जो कहीं रिकॉर्ड किया जाता है (KeePass इस के लिए अच्छा है) इसे लॉग ऑन करने के लिए इसका उपयोग करने के लिए लोगों के लिए एक दर्द बना। बाते कर रहे हैं जिससे कि...

• ... (सामान्य तौर पर) खाता एक ऐसे समूह का सदस्य होना चाहिए जिसके पास अंतःक्रियात्मक रूप से लॉग ऑन करने के अधिकार नहीं हैं। इसे ग्रुप पॉलिसी के जरिए नियंत्रित किया जा सकता है।

• कम से कम विशेषाधिकार के सिद्धांत का ध्यान रखें। खातों में वे अधिकार होने चाहिए जो उन्हें अपना काम करने के लिए चाहिए और अधिक नहीं । इस के साथ इनकी जांच, जैसा कि ग्रेवीफेस बताता है, बिल्ट इन बिल्ट का उपयोग करें जहाँ संभव हो। Local Serviceजब नेटवर्क का उपयोग आवश्यक नहीं है। Network Serviceजब मशीन खाते के रूप में नेटवर्क तक पहुंच पर्याप्त सुरक्षित होगी, और Local Systemजहां संभव हो , खाते का उपयोग करने से बचें ।

* जब तक आपकी कंपनी सुरक्षा नीति इसके अनुकूल नहीं है, लेकिन चीजों की आवाज़ से यह संभवत: :-)