পরিষেবা অ্যাকাউন্টগুলির জন্য সেরা অনুশীলনগুলি কী কী?

9

আমরা একটি শেয়ার্ড ডোমেন অ্যাকাউন্ট ব্যবহার করে আমাদের সংস্থায় বেশ কয়েকটি পরিষেবা চালাচ্ছি। দুর্ভাগ্যক্রমে, এই অ্যাকাউন্টের শংসাপত্রগুলি ব্যাপকভাবে বিতরণ করা হয় এবং পরিষেবা এবং অ-পরিষেবা উভয় উদ্দেশ্যেই প্রায়শই ব্যবহৃত হয়। এটি এমন পরিস্থিতির দিকে পরিচালিত করেছে যেখানে এই ভাগ করা অ্যাকাউন্টটি লক হওয়ার কারণে পরিষেবাগুলি সাময়িকভাবে বন্ধ হয়ে যাওয়ার সম্ভাবনা রয়েছে।

স্পষ্টতই, এই পরিস্থিতির পরিবর্তন হওয়া দরকার। পরিকল্পনাটি হ'ল নতুন অ্যাকাউন্টের অধীনে চলতে পরিষেবাগুলি পরিবর্তন করা, তবে আমি মনে করি না যে এটি যথেষ্ট পরিমাণে যায়, কারণ এই অ্যাকাউন্টটি একই লকিং নীতি সাপেক্ষে।

আমার প্রশ্নগুলি হ'ল: আমরা কি অন্য ডোমেন অ্যাকাউন্টগুলির তুলনায় পরিষেবা অ্যাকাউন্টগুলি আলাদাভাবে সেট আপ করব এবং যদি আমরা তা করি তবে কীভাবে আমরা এই অ্যাকাউন্টগুলি পরিচালনা করব। দয়া করে মনে রাখবেন যে আমরা একটি 2003 ডোমেন চালাচ্ছি, এবং ডোমেন নিয়ামককে আপগ্রেড করা খুব কাছের মেয়াদে কার্যকর সমাধান নয়।

windows-server-2003  active-directory  best-practices 
LockeCJ
সূত্র

উত্তর:

7

কয়েকটি চিন্তা:

  • পরিষেবা প্রতি একাউন্ট, অথবা আপনার পরিবেশের উপর নির্ভর করে প্রতি পরিষেবা টাইপের জন্য।

  • অ্যাকাউন্টগুলি ডোমেন অ্যাকাউন্ট হওয়া উচিত।

  • অ্যাকাউন্টগুলির একটি শক্তিশালী পাসওয়ার্ড থাকা উচিত যা * এর মেয়াদ শেষ হয় না। লোকেরা এটি লগ-ইন করার জন্য এটি ব্যবহার করতে ব্যথা তৈরি করতে আদর্শভাবে কোনও এলোমেলো পাসওয়ার্ড তৈরি করে যা কোথাও রেকর্ড হয়ে যায় (কেপাস এটির জন্য ভাল)। যার কথা ...

  • ... (সাধারণভাবে) অ্যাকাউন্টটি এমন একটি গোষ্ঠীর সদস্য হওয়া উচিত যা ইন্টারেক্টিভভাবে লগ ইন করার অধিকার রাখে না। এটি গ্রুপ পলিসির মাধ্যমে নিয়ন্ত্রণ করা যায়।

  • ন্যূনতম সুবিধার নীতিটি মাথায় রাখুন। অ্যাকাউন্টগুলিতে তাদের কাজ করার জন্য প্রয়োজনীয় অধিকার থাকা উচিত এবং এর বেশি কিছু নেই । এর সাথে চালিয়ে যাওয়া, গ্র্যাভেসফেসটি উল্লেখ করে, যেখানে সম্ভব সেখানে বিল্ট ইন অ্যাকাউন্ট ব্যবহার করুন। Local Serviceযখন নেটওয়ার্ক অ্যাক্সেসের প্রয়োজন হয় না। Network Serviceমেশিন অ্যাকাউন্ট হিসাবে নেটওয়ার্ক অ্যাক্সেস করার সময় যথেষ্ট সুরক্ষিত হবে এবং Local Systemযেখানে সম্ভব অ্যাকাউন্টটি ব্যবহার করা এড়ানো হবে ।

* যদি না আপনার কোম্পানির সুরক্ষা নীতি এটির সাথে সামঞ্জস্য না করে তবে শব্দগুলির দ্বারা এটি সম্ভবত :-)

ক্রিস ম্যাককাউন
সূত্র
যদি কোনও হ্যাকার সিস্টেমে পায় তবে সে ডোমেন অ্যাকাউন্ট হিসাবে চলমান যে কোনও প্রক্রিয়া বা পরিষেবাতে সহজেই তাদের পেডলোড ইনজেক্ট করতে পারে এবং তার সাথে, সেই নির্দিষ্ট ডোমেন ব্যবহারকারীর যে কোনও অ্যাক্সেস থাকতে পারে। আমি সাধারণত স্থানীয় সার্ভিস ব্যবহার করি যখন আমার নেটওয়ার্ক অ্যাক্সেসের প্রয়োজন হয় না (উদাহরণস্বরূপ স্থানীয়ভাবে এসকিউএল চালানো)।
গ্রেভিফেস
1
পছন্দ করুন আমি নির্দিষ্ট পরিষেবা অ্যাকাউন্টগুলিকে 'পরিষেবাগুলি যা বিল্ট ইন অ্যাকাউন্টগুলিতে ব্যবহার করতে পারে না' হিসাবে ভাবার প্রবণতা রাখে তাই এই পার্থক্যটি মূল্যবান
ক্রিস ম্যাকউউন
2003 সালে, গ্রুপ নীতি পর্যায়ে লকিং অক্ষম করা সম্ভব? এই একটি ভাল ধারণা?
লক সিজে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.