मैं 2 सर्वर और 30 क्लाइंट के साथ एक छोटे संगठन में काम करता हूं। हम पूरी तरह से विंडोज सर्वर 2003 / XP हैं। मेरे अलावा, संचालन निदेशक और हमारी आईटी परामर्श कंपनी को एक डोमेन व्यवस्थापक खाते तक पहुंचने की आवश्यकता है।
क्या हमारे पास किसी भी कारण (परिवर्तन लॉगिंग, सुरक्षा, या अन्यथा) के लिए कई डोमेन व्यवस्थापक खाते होने चाहिए? क्या कई डोमेन व्यवस्थापक खाते नहीं होने के कारण हैं?
जवाबों:
प्रत्येक उपयोगकर्ता जो प्रशासनिक गतिविधियाँ करता है, उसके पास उन गतिविधियों को करने के लिए एक समर्पित खाता होना चाहिए। एक विंडोज़ वातावरण में, अंतर्निहित (आरआईडी 500) प्रशासक खाते में एक जटिल पासवर्ड सेट होना चाहिए, मुद्रित होना चाहिए, और आपात स्थिति के लिए एक सुरक्षित इत्यादि में बंद कर दिया जाना चाहिए।
सुरक्षा का एक सामान्य सिद्धांत इस प्रकार है: आप जानना चाहते हैं कि कौन प्रदर्शन कर रहा है (प्रशासनिक, इस मामले में) गतिविधियाँ (यानी एक ऑडिट ट्रेल। साझा करने वाले खाते पानी से बाहर निकलते हैं।
इसके अलावा, आप पासवर्ड सुरक्षा, समाप्ति इत्यादि के उल्लंघन के मामले में किसी व्यक्ति की पहुंच में कटौती करना चाहते हैं, साझा किए गए खाते उस मानदंड को पूरा नहीं करते हैं।
साझा, किसी भी प्रकार के आम उपयोग वाले खातों को मूल्य में अत्यधिक संदिग्ध माना जाना चाहिए, लेकिन साझा प्रशासन क्रेडेंशियल हमेशा खराब होते हैं ।
पुन: सीमित दूरस्थ डेस्कटॉप / टर्मिनल सेवा कनेक्शन जैसे विंडोज-विशिष्ट विचार: अपने साथी के लिए उत्सुक रहें और आस-पास रखे सत्रों को न छोड़ें। मैंने पाया है कि सामाजिक दबाव छोटे संगठनों में काफी अच्छी तरह से काम करता है (अर्थात बार-बार और जोर से इस तथ्य का उल्लेख है कि व्यवस्थापक XXX लॉगऑफ़ सर्वर को याद नहीं करता है)। यदि आप वास्तव में हैं, तो आप हमेशा अन्य उपयोगकर्ताओं के डिस्कनेक्ट किए गए सत्रों को बूट कर सकते हैं। यह जोड़ता है, हो सकता है, कनेक्शन के प्रयास में 30 सेकंड। एक बड़े संगठन में, या यदि यह एक बड़ी समस्या बन जाती है, तो आप डिस्कनेक्टेड सत्र टाइमआउट को लागू करने पर विचार कर सकते हैं।
थोड़ा अलग, लेकिन एक विषय पर शायद यह है कि आपने एक आईटी सलाहकार का उल्लेख किया है: एक आईटी ठेकेदार के रूप में मैं हमेशा अपने लिए एक समर्पित प्रशासन खाते का अनुरोध करता हूं, और मैं किसी भी "साझा" प्रशासन क्रेडेंशियल्स को नहीं जानने की मांग करता हूं। यह दोनों पक्षों की सुरक्षा करता है और एक ऑडिट ट्रेल प्रदान करता है। मैं हमेशा चाहता हूं कि मेरे ग्राहक ऐसा महसूस करें कि वे एक पल के नोटिस पर "मुझे लॉक कर सकते हैं" (और वास्तव में वह क्षमता भी है), क्योंकि मेरा मानना है कि यह एक शक्तिशाली संदेश भेजता है जो मुझे अपने रिश्ते को बनाए रखने की क्षमता में विश्वास है। उन्हें मेरे कौशल और मेरे द्वारा प्रदान किए गए मूल्य के आधार पर, कुछ अस्पष्ट भावना के आधार पर नहीं कि वे मेरे लिए "लॉक इन" हैं।
एक से अधिक खाते नहीं होने का एक कारण:
यदि आप दूरस्थ डेस्कटॉप का उपयोग करके सब कुछ प्रशासित करते हैं, तो आपके पास उन लोगों की सीमा हो सकती है। अगर लोग बिना लॉग आउट किए बस रिमोट डेस्कटॉप सेशन को बंद कर देते हैं तो वे जल्दी से बंध जाएंगे।
एक से अधिक खाते होने का कारण:
आप देख सकते हैं कि कुछ बुरा होने पर कौन लॉग इन किया गया था। वास्तव में, यदि आपके पास टीम का अच्छा माहौल है, तो जिसने भी कुछ किया है, वह उसे स्वीकार करेगा।
इवान का जवाब अच्छा है। यह भी याद रखें कि आपको दिन-प्रतिदिन के काम के लिए अपने व्यवस्थापक खाते का उपयोग नहीं करना चाहिए - यदि आप अपने कार्य केंद्र पर सीधे कुछ चला रहे हैं तो हमेशा रनस या इसी तरह के व्यवस्थापक आदेश चलाएँ।
सेवा खातों के लिए, आप उन्हें अधिक सुरक्षित बनाने के लिए इंटरैक्टिव लॉगऑन को भी अक्षम कर सकते हैं।
एक अंतिम बिंदु, सुनिश्चित करें कि आप अपने सर्वर पर सुरक्षा ऑडिटिंग चालू करते हैं और यह सुनिश्चित करते हैं कि सुरक्षा इवेंट लॉग काफी बड़ा है (मैं आमतौर पर इसे 20 एमबी या उससे अधिक पर सेट करता हूं)