2 sunucu ve 30 istemciyle küçük bir kuruluşta çalışıyorum. Tamamen Windows Server 2003 / XP'yiz. Benim yanı sıra, Operasyonlar Direktörü ve BT danışmanlık şirketimizin bir alan adı yöneticisi hesabına erişmesi gerekiyor.
Herhangi bir nedenle birden fazla alan adı yöneticisi hesabımız olmalı mı (günlüğe kaydetme, güvenlik veya başka türlü)? Birden fazla alan adı yöneticisi hesabınızın olmamasının nedenleri var mı?
Yanıtlar:
Yönetimsel faaliyetleri gerçekleştiren her kullanıcının, bu etkinlikleri gerçekleştirmek için özel bir hesabı olmalıdır. Windows ortamında, yerleşik (RID 500) Yönetici hesabında acil durumlar için karmaşık bir parola ayarlanmış, yazdırılmış ve güvenli bir yerde vb.
Genel bir güvenlik ilkesi şu şekildedir: Hangi (idari, bu durumda) faaliyetlerin kimin gerçekleştirdiğini (yani bir denetim izine sahip olmak) bilmek istiyorsunuz.
Ayrıca, şifre güvenliği, fesih vb. İhlalleri durumunda bireyin erişimini kesebilmeniz de mümkündür. Paylaşılan hesaplar da bu kriterleri karşılamamaktadır.
Her türden paylaşılan, ortak kullanımlı hesapların değeri oldukça şüpheli olarak kabul edilmelidir, ancak paylaşılan yönetim kimlik bilgileri her zaman kötüdür.
re: Sınırlı Uzak Masaüstü / Terminal Hizmetleri bağlantıları gibi Windows'a özgü hususlar: Diğer yöneticilerinize karşı dikkatli olun ve bağlantısız oturumları bırakmayın. Sosyal baskının küçük kuruluşlarda oldukça iyi çalıştığını gördüm (yani, yönetici XXX'nin sunucuları kapatmayı hatırlamaması gerçeğinden sık sık ve yüksek sesle bahsediyoruz). Gerçekten gerekiyorsa, diğer kullanıcıların bağlantısı kesilen oturumlarını her zaman önyükleyebilirsiniz. Bir bağlantı girişimine belki 30 saniye ekler. Daha büyük bir kuruluşta veya büyük bir sorun haline gelirse, bağlantısı kesilmiş oturum zaman aşımlarını uygulamayı düşünebilirsiniz.
Biraz bir kenara, ama bir BT danışmanından bahsettiğinizden beri muhtemelen konu üzerine olan bir tanesi: Bir BT yüklenicisi olarak kendim için her zaman özel bir yönetim hesabı talep ediyorum ve "paylaşılan" yönetim kimlik bilgilerini bilmemeyi talep ediyorum. Her iki tarafı da korur ve bir denetim izi sağlar. Müşterilerimin her zaman bir an önce "beni kilitleyebileceklerini" (ve aslında bu yeteneğe sahip olduklarını) hissetmelerini istiyorum çünkü bunun, ilişkiyi sürdürme yeteneğime güvenebileceğimden emin olduğum güçlü bir mesaj gönderdiğine inanıyorum onları yeteneklerimin ve benim verdiğim değerin esasına dayanıyor, bana "kilitli" olduklarına dair belirsiz bir fikre dayanmıyor.
Birden fazla hesabınızın olmamasının bir nedeni:
Her şeyi uzak masaüstü kullanarak yönetiyorsanız, bunlarla sınırlı olabilirsiniz. Kullanıcılar oturumu kapatmadan uzak masaüstü oturumunu kapatırlarsa, hızlı bir şekilde bağlanırlar.
Birden çok hesaba sahip olmanızın nedeni:
Kötü bir şey olduğunda kimlerin giriş yaptığını görebilirsiniz. Gerçekten de, eğer iyi bir takım ortamınız varsa, kim bir şey yaptıysa bunu kabul edecektir.
Evan'ın cevabı iyi. Ayrıca, günlük işleriniz için yönetici hesabınızı kullanmamanız gerektiğini unutmayın - doğrudan iş istasyonunuzda bir şey çalıştırıyorsanız, her zaman runas veya benzeri bir yönetici komutları çalıştırın.
Hizmet hesaplarında, etkileşimli oturum açmayı daha güvenli hale getirmek için de devre dışı bırakabilirsiniz.
Son bir nokta, sunucularınızda güvenlik denetimini açtığınızdan ve güvenlik olay günlüğünün yeterince büyük olduğundan emin olun (genellikle 20 MB veya daha fazla olarak ayarladım)