সবসময় অ্যাডমিন হিসাবে লগ ইন করা খারাপ?

20

আমি যে অফিসে কাজ করি সেখানে আইটি কর্মীদের অন্যান্য সদস্যদের মধ্যে তিনজনই তাদের কম্পিউটারগুলিতে সার্বক্ষণিকভাবে অ্যাকাউন্টগুলিতে লগইন করেন যা ডোমেন প্রশাসক গোষ্ঠীর সদস্য।

অ্যাডমিন অধিকারের (স্থানীয় বা ডোমেনের জন্য) লগ ইন হওয়া সম্পর্কে আমার গুরুতর উদ্বেগ রয়েছে। যেমন, প্রতিদিনের কম্পিউটার ব্যবহারের জন্য, আমি এমন একাউন্ট ব্যবহার করি যা কেবলমাত্র নিয়মিত ব্যবহারকারী প্রাইভেলিজ রয়েছে। আমার একটি আলাদা অ্যাকাউন্টও রয়েছে যা ডোমেন প্রশাসকদের গোষ্ঠীর অংশ। যখন আমার কম্পিউটারে, সার্ভারগুলির মধ্যে একটির মধ্যে, বা অন্য কোনও ব্যবহারকারীর কম্পিউটারে এলিভেটেড প্রাইভেটিজ দরকার হয় এমন কিছু করার দরকার হয় তখন আমি এই অ্যাকাউন্টটি ব্যবহার করি।

এখানে সেরা অনুশীলন কি? নেটওয়ার্ক প্রশাসকদের পুরো নেটওয়ার্কের অধিকারের সাথে সর্বদা লগইন করা উচিত (বা এই বিষয়ে তাদের স্থানীয় কম্পিউটার)?

windows  security  best-practices 
অকর্মা
সূত্র
আমি সবসময় ভাবতাম যে বোকা। এটি করার কোনও ভাল কারণ আমি কখনও শুনিনি। উইন্ডোতে পিতামাতাদের সীমিত অ্যাকাউন্ট দেওয়া হতে পারে তবে আমরা আমাদের অ্যাকাউন্টগুলির ব্যবহারের বিষয়ে কথা বলছি
কোনও বাচ্চা কি কখনও তাদের পিসিতে স্টাফ ক্লিক করে চলেছে? আপনি এমপি 3 ফোল্ডারের পরিবর্তে কীভাবে ঘটনাক্রমে মূল ডেটা ভাগ সরিয়ে ফেলবেন about
বারফিল্ডমভি
1
কেউ দয়া করে এই প্রশ্নের জন্য একটি "উইন্ডোজ" ট্যাগ যুক্ত করুন
জোয়েলফ্যান 20'11 এ 12
@ বারফিল্ডএমভি, এই প্রশ্নটি আপনার লাউঞ্জের পিসি নয়, একটি কাজের পরিবেশ সম্পর্কে। বাচ্চাদের এর কাছাকাছি কোথাও থাকা উচিত নয় এবং দুর্ঘটনাজনিত মোছা ব্যাকআপগুলি থেকে পুনরুদ্ধার করা যায়।
জন গার্ডেনিয়ার্স

উত্তর:

36

পরম সর্বোত্তম অনুশীলন হ'ল লাইভ ইউজার, ওয়ার্ক রুট । আপনি প্রতি 5 মিনিটে সার্ভার ফল্টে রিফ্রেশ করার সময় আপনি যে ব্যবহারকারী লগ ইন করেছেন সে একজন সাধারণ ব্যবহারকারী হওয়া উচিত। এক্সচেঞ্জের রাউটিং সমস্যাগুলি নির্ণয়ের জন্য আপনি যেটি ব্যবহার করেন সেটি প্রশাসনিক হওয়া উচিত। এই বিচ্ছেদটি পাওয়া শক্ত হতে পারে, যেহেতু উইন্ডোজটিতে কমপক্ষে এটির জন্য দ্বৈত লগইন-সেশনের প্রয়োজন হয় এবং এর অর্থ কোনও উপায়ে দুটি কম্পিউটার।

  • ভিএমগুলি এর জন্য সত্যই ভাল কাজ করে এবং আমি এটিই এর সমাধান করি।
  • আমি এমন সংস্থাগুলির কথা শুনেছি যা তাদের উচ্চীকৃত অ্যাকাউন্টগুলিকে অভ্যন্তরীণভাবে নির্দিষ্ট কিছু বিশেষ ভিএমগুলিতে লগইন-সীমাবদ্ধ করে এবং প্রশাসকরা অ্যাক্সেসের জন্য আরডিপিতে নির্ভর করে।
  • ইউএসি কোনও প্রশাসক যা কিছু করতে পারে (বিশেষ প্রোগ্রামগুলিতে অ্যাক্সেস করতে পারে) তা সীমাবদ্ধ করতে সহায়তা করে, তবে ক্রমাগত অনুরোধগুলি ঠিক তেমন বিরক্তিকর হতে পারে যতটা করা দরকার অন্য কোনও মেশিনে রিমোট করে রাখা।

কেন এটি সেরা অনুশীলন? কিছুটা কারণ এটি আমি বলেছিলাম , এবং অন্য অনেকগুলি করে। সিসএডমিনিংয়ের কোনও কেন্দ্রীয় সংস্থা নেই যা কোনও প্রকারের নির্ভুল উপায়ে সেরা-অনুশীলনগুলি সেট করে। গত দশকে আমাদের কয়েকটি আইটি সুরক্ষা সর্বাধিক অনুশীলনগুলি প্রকাশিত হয়েছিল যা পরামর্শ দেয় যে আপনি যখন কেবল প্রকৃতপক্ষে তাদের প্রয়োজন হয় তখনই আপনি কেবল উন্নত বেসরকারী ব্যবহার করেন। কিছু সেরা-অনুশীলন গত 40+ বছরেরও বেশি সময় ধরে সিসাদমিনদের দ্বারা অভিজ্ঞতার জিলস্টের মাধ্যমে সেট করা হয়। লিসা ১৯৯৩ ( লিঙ্ক ) -এর একটি কাগজ, সানসের একটি উদাহরণ কাগজ ( লিঙ্ক , একটি পিডিএফ), সানসের 'সমালোচনামূলক সুরক্ষা নিয়ন্ত্রণ' এর একটি বিভাগ ( লিঙ্ক ) এ স্পর্শ করে ।

sysadmin1138
সূত্র
6
মনে রাখবেন যে উইন্ডোজ 7-এ প্রশাসক অ্যাকাউন্টটি অনেক বেশি সীমিত এবং এর জন্য দ্বৈত লগইন-সেশনের প্রয়োজন হয় না। ইউএসি বেশ সুন্দরভাবে কাজ করে। এটি ভিস্টায় উল্লেখযোগ্যভাবে কম কাজ করে।
রিকিট
6
@ রিকিট, আমি কমপক্ষে প্রশাসকদের জন্য ইউএসি সম্পর্কে মন্তব্যটির সাথে একমত নই। আমি এটি আমার ওয়ার্কস্টেশনটি বন্ধ করে দিয়েছি কারণ আমি যে প্রায় প্রতিটি সফটওয়্যার ব্যবহার করি তা ইউএসি আমাকে অনুমতি দেওয়ার জন্য অনুরোধ করে। এটি এত বিরক্তিকর এবং আমাকে ধীরে ধীরে ধীরে ধীরে ধীরে ধীরে ইতিবাচকভাবে এর নেতিবাচক দ্বারা ছাড়িয়ে যায়। "বেশ সুন্দরভাবে" কাজ করার জন্য, আপনি যেমনটি লিখেছেন, আমাদের বলা উচিত যে নির্দিষ্ট সফ্টওয়্যারটিকে সর্বদা অনুমতি দেওয়া বা বর্জন করা যায় তবে অবশ্যই এটি তেমন নমনীয় নয়। একদম সহজ, এটি একটি অপরিণত এবং অ-বিবেচিত প্রচেষ্টা যা কোনও দিন কোনও মূল্যবান সুরক্ষা উপাদান হতে পারে।
জন গার্ডেনিয়ার্স
1
^ উপরের মন্তব্যে লিঙ্কযুক্ত টেকনেট নিবন্ধটি পুরানো, ভিস্তার আগে লেখা (যেহেতু এটি এর কোডনামটি বোঝায়, "লংহর্ন") ^ তবে এক্সপি ব্যবহারকারীদের জন্য এটি খুব কার্যকর। @ জন আমি অনুমান করি প্রত্যেকের মাইলেজ পরিবর্তিত হয় তবে আমি কখনই ইউএসি পপআপ পাই না এবং আমি বেশ কিছুটা সফটওয়্যার ব্যবহার করি। একমাত্র ব্যতিক্রম ইনস্টলার (দুহ) এবং বিরক্তিকর জাভা আপডেটেটার upd ভিস্তা অনেক খারাপ ছিল, তাই আপনি উইন্ডোজ since এর পরে ইউএএসি চেষ্টা না করে নিলে আমি অবশ্যই এটি আবার চালু করার পরামর্শ দিই, অন্যথায় আমার ধারণা আপনি কেবল সেকেলে / খারাপভাবে লিখিত সফ্টওয়্যার ব্যবহার করছেন। সফ্টওয়্যারের প্রায় প্রতিটি অংশ অ্যাডমিন
অনুমতিের
1
@ রিকিট, আমরা পরিষ্কারভাবে খুব আলাদা সফ্টওয়্যার ব্যবহার করি। আমি চিত্র আমরা খুব বিভিন্ন কাজ সম্পাদন। আপনি যে সফ্টওয়্যারটি ব্যবহার করেন কেবল তার কারণে ইউএসি ট্রিগার হয় না এর অর্থ এটি অন্যের ব্যবহৃত সফ্টওয়্যারটিতে প্রযোজ্য। অভিজ্ঞতা অর্জনের সাথে সাথে আপনি এই জিনিসগুলি শিখবেন। আমি যা বলেছি তা সত্য। আপনি এটা কেন জিজ্ঞাসা করছেন?
জন গার্ডিনিয়ার্স
1
@ কিথ স্টোকস: ইউএসি-র জন্য আপনাকে প্রম্পট করার জন্য আপনি পুটি দুর্বল হয়ে কী করেছেন? পুটি চালানোর জন্য উচ্চতার প্রয়োজন নেই!
ইভান অ্যান্ডারসন
12

যেহেতু এটি একটি উইন্ডোজ ডোমেন, সম্ভবত তারা ব্যবহার করা অ্যাকাউন্টগুলিতে সমস্ত ওয়ার্কস্টেশনগুলিতে সম্পূর্ণ নেটওয়ার্ক অ্যাক্সেস রয়েছে, সুতরাং যদি কোনও খারাপ কিছু ঘটে থাকে তবে এটি কয়েক সেকেন্ডের মধ্যেই নেটওয়ার্ক জুড়ে যেতে পারে। প্রথম পদক্ষেপটি হ'ল স্বল্প ব্যবহারের অ্যাক্সেসের নীতি অনুসারে সমস্ত ব্যবহারকারীরা প্রতিদিন কাজ করছেন, ওয়েব ব্রাউজ করছেন, ডকুমেন্ট লিখছেন, তা নিশ্চিত করা ।

আমার অনুশীলনটি তখন একটি ডোমেন অ্যাকাউন্ট তৈরি করা এবং সেই অ্যাকাউন্টের প্রশাসককে সমস্ত ওয়ার্কস্টেশন (পিসি-অ্যাডমিন) এবং বিশেষত সার্ভার অ্যাডমিন কাজের জন্য আলাদা ডোমেন অ্যাকাউন্ট (সার্ভার-প্রশাসক) দেওয়া to যদি আপনি আপনার সার্ভারগুলি একে অপরের সাথে কথা বলতে সক্ষম হন তবে আপনার প্রতিটি মেশিনের জন্য পৃথক অ্যাকাউন্ট থাকতে পারে (<x> -admin, <y> -admin)। অবশ্যই ডোমেন প্রশাসক কাজ চালানোর জন্য অন্য অ্যাকাউন্ট ব্যবহার করার চেষ্টা করুন।

এইভাবে, আপনি যদি পিসি-অ্যাডমিন অ্যাকাউন্টের সাথে আপোষযুক্ত ওয়ার্কস্টেশনে কিছু করছেন এবং নেটওয়ার্কের মাধ্যমে অন্য মেশিনে যাওয়ার চেষ্টা করার জন্য অ্যাডমিনের সুযোগ-সুবিধাগুলি হ্রাস পাচ্ছে, তবে এটি কিছু করতে সক্ষম হবে না আপনার সার্ভারে খারাপ এই অ্যাকাউন্টটি থাকার অর্থ এটি আপনার ব্যক্তিগত ডেটাতে কিছু করতে পারে না।

আমি অবশ্যই বলব, যে এক জায়গায় আমি জানি যে কর্মীরা এলইউএ নীতি নিয়ে কোথায় কাজ করেছে, আমি যে তিন বছর দেখেছি সেখানে তাদের যথাযথ ভাইরাসের আক্রমণ ছিল না; একই জায়গায় অন্য বিভাগে যেখানে স্থানীয় প্রশাসক এবং আইটি কর্মীদের সাথে সার্ভার অ্যাডমিনের প্রত্যেকের বেশ কয়েকটি প্রাদুর্ভাব ঘটেছিল যার মধ্যে একটি নেটওয়ার্কের মাধ্যমে সংক্রমণ ছড়িয়ে পড়ার কারণে এটি পরিষ্কার করতে এক সপ্তাহ সময় নিয়েছিল।

এটি সেট আপ করতে কিছুটা সময় নেয় না, তবে আপনি যদি সমস্যায় পড়ে থাকেন তবে সম্ভাব্য সঞ্চয়ী বিশাল।

আয়েন হাল্লাম
সূত্র
আমি এইভাবে আচরণ করি এবং আমার প্রতিদিনের কাজের জন্য একটি ডোমেন অ্যাকাউন্ট ব্যবহার করি এবং যখন আমার প্রয়োজন হয় তখন আমার অধিকারী অ্যাডমিন ডোমেন অ্যাকাউন্টে উন্নীত করি। আমার অন্যান্য সহকর্মীরা আমাকে দেখে হেসে ফেলেছে এবং আমি তাদের ওয়ার্কস্টেশনগুলিকে কোনও খারাপ উপায়ে প্রভাবিত করার জন্য অপেক্ষা করতে পারি না যাতে আমি বলতে পারি যে আমি আপনাকে এটি বলেছি।
songei2f 15
1

পৃথক অ্যাকাউন্টগুলির জন্য পৃথক অ্যাকাউন্টগুলি এটিকে দেখার সেরা উপায়। সর্বনিম্ন বেসরকারীকরণের মূলনীতিটি গেমটির নাম। "প্রশাসক" হিসাবে যে কাজগুলি করতে হবে তার মধ্যে "অ্যাডমিন" অ্যাকাউন্টগুলির ব্যবহার সীমাবদ্ধ করুন।

লিয়াম
সূত্র
1

উইন্ডোজ এবং * নিক্সের মধ্যে মতামত কিছুটা পৃথক হলেও আপনার ডোমেন অ্যাডমিনগুলির উল্লেখ আমাকে মনে করে যে আপনি উইন্ডোজ সম্পর্কে কথা বলছেন, সুতরাং আমি সেই প্রসঙ্গেই উত্তর দিচ্ছি।

ওয়ার্কস্টেশনে আপনার সাধারণত অ্যাডমিন হওয়া উচিত নয়, সুতরাং বেশিরভাগ ক্ষেত্রে আপনার প্রশ্নের উত্তরটি হ'ল না। তবে, প্রচুর ব্যতিক্রম রয়েছে এবং ব্যক্তি মেশিনে ঠিক কী করছে তা নির্ভর করে।

একটি সার্ভারে এটি অনেক বিতর্কের বিষয়। আমার নিজের মতামতটি হল যে আমি কেবল অ্যাডমিনের কাজ করতে কোনও সার্ভারে লগইন করি, সুতরাং এটি ব্যবহারকারী হিসাবে লগইন করা এবং তারপরে রান-অ্যাস ব্যবহার করে প্রতিটি পৃথক সরঞ্জাম চালনা করা বুদ্ধিমানের কিছু নয়, যা পুরোপুরি সত্যই সত্যই ব্যথা হয়ে থাকে আপনি জানেন কি এবং বেশিরভাগ কাজের জন্য এটি কোনও প্রশাসকের জীবনকে অতিমাত্রায় কঠিন এবং সময় সাপেক্ষ করে তোলে। কারণ বেশিরভাগ উইন্ডোজ অ্যাডমিনের কাজ জিইউআই সরঞ্জাম ব্যবহার করে করা হয় সেখানে কিছুটা সুরক্ষা পাওয়া যায় যা কমান্ড লাইনে কাজ করা একটি লিনাক্স অ্যাডমিনের পক্ষে উপস্থিত থাকে না, যেখানে একটি সাধারণ টাইপো তাকে গত রাতের ব্যাকআপ টেপের জন্য স্ক্যুরি করে পাঠাতে পারে।

জন গার্ডেনিয়ার্স
সূত্র
+1, "আপনি কোনও সার্ভার হিসাবে লগ ইন করেন" এটি বিতর্কের একটি বড় ফোকাস।
sysadmin1138
1

আমার জীবন সহজ ... অ্যাকাউন্টটির স্বতন্ত্র নাম দেওয়া হয়েছে এবং সবার পাসওয়ার্ড আলাদা।

Godশ্বর অ্যাকাউন্ট - সমস্ত সার্ভারের কাজ করতে ডোমেন প্রশাসক

পিসির প্রশাসনের জন্য ডেমিগড অ্যাকাউন্ট - শেয়ার / সার্ভারের কোনও অধিকার নেই - কেবল পিসিরই

দুর্বল ব্যবহারকারী - আমি আমার নিজের কম্পিউটারে শক্তি ব্যবহারকারীকে প্রদান করি, তবে অন্য পিসির কাছেও আমার এই অধিকার নেই

বিচ্ছিন্নতার কারণগুলি অনেকগুলি। কোন যুক্তি থাকা উচিত, শুধু এটি!

cwheeler33
সূত্র
আমি তিনটি স্তরে সুবিধার্থে পৃথকীকরণ পছন্দ করি তবে আপনি যা প্রচার করেন তা অনুশীলনের জন্য অন্যকে পেয়ে যাওয়া অবশ্যই মাথা ব্যথার কারণ হতে পারে।
songei2f 15
এটি কিছু পরিবেশে শক্ত বিক্রয় হতে পারে। তবে আপনি যদি নীতি নির্ধারকদের কাছে নিজেকে প্রমাণ করতে পারেন তবে তারা আপনাকে এটি অনুসরণীয় নীতিমালা তৈরি করতে সহায়তা করবে। যখন কোনও নিখরচায় এবং সহজ সমাধান উপস্থিত থাকে তখন কোনও এক্সিকিউট তাদের সংস্থাকে আলগা করতে চায় না।
cwhiler33
আপনি # 4 ভুলে গেছেন: নিরীক্ষক ব্যবহারকারীকে whichশ্বর লগ করেন যা অন্যথায় সমস্ত অ্যাকাউন্ট থেকে স্বতন্ত্র। সুতরাং যদি কোনও হ্যাকার আপনার godশ্বরকে প্রতিহিংসাপরায়ণ করে তোলে, আপনি কীভাবে তা ঘটেছে তা জানেন।
পার্থিয়ান শট 14
0

নীচে নেমে যাওয়ার ঝুঁকিতে, আমাকে বলতে হবে এটি প্রশাসকের কর্মপ্রবাহের উপর নির্ভর করে। ব্যক্তিগতভাবে আমার জন্য, কর্মক্ষেত্রে আমি আমার ওয়ার্কস্টেশনটিতে যে বিস্তৃত জিনিসগুলি করছি তা সেই অ্যাডমিনের শংসাপত্রগুলির প্রয়োজন হবে। আপনি বিল্ট-ইন স্টাফ যেমন ডোমেন ম্যানেজমেন্ট সরঞ্জামগুলি, তৃতীয় পক্ষের পরিচালন কনসোলগুলি, ম্যাপযুক্ত ড্রাইভগুলি, কমান্ড লাইন রিমোট অ্যাক্সেস সরঞ্জামগুলি, স্ক্রিপ্টস ইত্যাদির তালিকা পেয়েছেন। আপনার খোলার প্রায় প্রতিটি জিনিসের জন্য শংসাপত্র টাইপ করা দুঃস্বপ্ন হবে।

সাধারণত অ্যাডমিন গোপনীয়তার প্রয়োজন হয় না এমনগুলি সম্পর্কে হ'ল আমার ওয়েব ব্রাউজার, ইমেল ক্লায়েন্ট, আইএম ক্লায়েন্ট এবং পিডিএফ ভিউয়ার। এবং লগআউট করার সময় আমি লগইন করার সময় থেকে এই জিনিসগুলির বেশিরভাগই খোলা থাকে। তাই আমি আমার প্রশাসকের শংসাপত্রগুলি দিয়ে লগইন করি এবং তারপরে আমি আমার কম বেসরকারী অ্যাপ্লিকেশনগুলিকে কম বেসরকারী অ্যাকাউন্ট দিয়ে রানআস করি। এটি অনেক কম ঝামেলা এবং এটি করার জন্য আমি কোনও কম সুরক্ষিত বোধ করি না।

রায়ান বোলার
সূত্র
নিম্ন বেসরকারী হিসাবে চালানো আসলে সুরক্ষা জন্য খুব বেশি কিছু করে না কারণ সিস্টেমটি ইতিমধ্যে প্রশাসক অ্যাকাউন্ট দিয়ে চলছে। আপনি নিজের সুরক্ষাকে ভুল ধারণা দিয়েছেন। এটি অন্যদিকে করুন, ব্যবহারকারী হিসাবে লগইন করুন, তারপরে প্রশাসক হিসাবে চালান run আপনি চাইলে আপনার লগইনের জন্য নিজেকে পাওয়ার ব্যবহারকারী করুন তবে আপনি দয়া করে সর্বদা প্রশাসকের মতো চালাবেন না।
লিয়াম
+1 আমি আমার উত্তরে যেমন বলেছিলাম, "ব্যক্তি মেশিনে ঠিক কী করছে তার উপর এটি নির্ভর করে"। সমস্ত তত্ত্ব এবং তথাকথিত "সেরা অনুশীলন" সত্ত্বেও এমন অনেক সময় আসে যা ব্যবহারকারী হিসাবে লগ ইন করা ঠিক বুদ্ধিমান হয় না। অন্তত উইন্ডোজ জগতে না।
জন গার্ডেনিয়ার্স
আমি বেশ নিশ্চিত যে উইন্ডোজ in-
g
@ লিয়াম কোনও অপরাধ নয়, তবে আপনি ভুল বলেছেন যে লো প্রাইভ সহ রানআসগুলি বেশি কিছু করে না। এটি ঠিক তাই করার কথা বলে যা এটি নির্দিষ্ট প্রক্রিয়া (এবং তার শিশুদের) উন্নত সুবিধাসমূহের সাথে কিছু করতে বাধা দেয়। এবং এটি এমন অ্যাপ্লিকেশনগুলির জন্য নিখুঁত যেগুলি কখনই উন্নত বেসরকারীগুলির প্রয়োজন হয় না এবং সাধারণত ম্যালওয়্যার দ্বারাও সর্বাধিক লক্ষ্যবস্তু হয়ে থাকে।
রায়ান বোলার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.