ডোমেন প্রশাসকদের জন্য কোনও ডোমেনের জন্য পৃথক লগইন রাখা কি সেরা অনুশীলন?

আমি সাধারণত নিজের জন্য পৃথক লগইন, নিয়মিত ব্যবহারকারীর অনুমতি সহ একটি এবং প্রশাসনিক কাজের জন্য পৃথক একটি সেট আপ করতে চাই। উদাহরণস্বরূপ, ডোমেনটি যদি এক্সএক্সএক্সএক্স থাকে তবে আমি একটি এক্সএক্সএলএক্সএক্স \ বিপিয়েকস এবং একটি এক্সএক্সএলএলএক্স \ অ্যাডমিনিস্ট অ্যাকাউন্টটি সেট আপ করতাম। আমি সর্বদা এটি করেছি কারণ সত্যই আমি নিজেকে প্রশাসক হিসাবে লগ ইন করতে বিশ্বাস করি না, তবে যে জায়গাতেই আমি কাজ করেছি সেখানে সিস্টেম প্রশাসকরা কেবলমাত্র তাদের সাধারণ অ্যাকাউন্টগুলি ডোমেন প্রশাসনিক গোষ্ঠীতে যুক্ত করবেন বলে মনে হয়।

কোন ভাল অনুশীলন আছে? আমি এমএসের একটি নিবন্ধ দেখেছি যা দেখে মনে হয় যে আপনার রান রান হিসাবে ব্যবহার করা উচিত, এবং প্রশাসক হিসাবে লগইন করা উচিত নয়, তবে তারা বাস্তবায়নের উদাহরণ দেয় না এবং আমি অন্য কাউকে কখনও দেখিনি।

"সেরা অনুশীলন" সাধারণত এলপিইউ (সর্বনিম্ন সুবিধাপ্রাপ্ত ব্যবহারকারী) নির্দেশ দেয় ... তবে আপনি সঠিক (ইটিএল এবং জো তাই +1) যে লোকেরা খুব কমই এই মডেলটি অনুসরণ করে।

বেশিরভাগ প্রস্তাবনাগুলি আপনি যেমন বলেছিলেন তেমনই করা হয় ... 2 টি অ্যাকাউন্ট তৈরি করুন এবং সেই অ্যাকাউন্টগুলি অন্যদের সাথে ভাগ করবেন না। আপনি যে তাত্ত্বিকভাবে স্থানীয় ওয়ার্কস্টেশন ব্যবহার করছেন তার এক অ্যাকাউন্টে প্রশাসকের অধিকার থাকা উচিত নয়, তবে আবার কে এই নিয়মটি অনুসরণ করে, বিশেষত ইউএসি-র সাথে এই দিনগুলিতে (যা তাত্ত্বিকভাবে সক্ষম করা উচিত)।

আপনি যদিও এই পথে যেতে চান তার একাধিক কারণ রয়েছে। আপনাকে সুরক্ষা, সুবিধা, কর্পস নীতি, নিয়ামক বিধিনিষেধ (যদি থাকে), ঝুঁকি ইত্যাদি ফ্যাক্টর করতে হবে

রাখা Domain Adminsএবং Administratorsন্যূনতম অ্যাকাউন্টের সাথে ডোমেইন স্তর গ্রুপ সুন্দর ও পরিচ্ছন্ন হওয়া সবসময় একটি ভাল ধারণা। আপনি যদি এড়াতে পারেন তবে সাধারণ ডোমেন অ্যাডমিন অ্যাকাউন্টগুলি কেবল ভাগ করে নেবেন না। অন্যথায় কারও কিছু করার ঝুঁকি রয়েছে এবং তারপরে "এটি অ্যাকাউন্ট ব্যবহার করা আমার পক্ষে ছিল না" এর সিসাদমিনদের মধ্যে আঙুল তুলে ধরে। এটিকে সঠিকভাবে নিরীক্ষণের জন্য স্বতন্ত্র অ্যাকাউন্ট থাকা বা সাইবারআর্ক ইপিএর মতো কিছু ব্যবহার করা ভাল।

এছাড়াও এই লাইনে, আপনার Schema Adminsগ্রুপটি সর্বদা EMPTY হওয়া উচিত যদি না আপনি স্কিমাতে পরিবর্তন না করেন এবং তারপরে আপনি অ্যাকাউন্টটি ভিতরে রাখেন, পরিবর্তন করেন এবং অ্যাকাউন্টটি সরিয়ে না দেন। Enterprise Adminsবিশেষত একটি একক ডোমেন মডেলের ক্ষেত্রেও একই কথা বলা যেতে পারে ।

আপনার সুবিধাপ্রাপ্ত অ্যাকাউন্টগুলিকে নেটওয়ার্কে ভিপিএনের অনুমতি দেওয়া উচিত নয়। একটি সাধারণ অ্যাকাউন্ট ব্যবহার করুন এবং তারপরে একবারে প্রয়োজনীয় হিসাবে উন্নত করুন।

অবশেষে, আপনার কোনও এসআইওএম বা নেটওয়ারিক্স বা কোনও সুবিধাযুক্ত গোষ্ঠীর নিরীক্ষণের জন্য অন্য কোনও পদ্ধতি ব্যবহার করা উচিত এবং যখনই এই গ্রুপের সদস্যগুলির মধ্যে কোনও পরিবর্তন ঘটে তখন আইটি-তে যথাযথ গোষ্ঠীটি অবহিত করুন। এটি আপনাকে "এক মিনিট অপেক্ষা করুন, কেন এমন এবং এত তাড়াতাড়ি একটি ডোমেন প্রশাসক?" প্রভৃতি

দিনের শেষে এটির জন্য "বেস্ট অনুশীলন" বলা একটি কারণ এবং "কেবলমাত্র অনুশীলন" নয় ... আইটি গ্রুপগুলি তাদের নিজস্ব প্রয়োজন এবং দর্শনের উপর ভিত্তি করে গ্রহণযোগ্য পছন্দগুলি রয়েছে। কিছু (জো যেমন বলেছেন) কেবল অলস ... অন্যেরা কেবলমাত্র যত্ন নেয় না কারণ যখন লড়াইয়ের জন্য ইতিমধ্যে শত শত এবং প্রতিদিনের আগুন থাকে তখন তারা একটি সুরক্ষা গর্ত প্লাগ করতে আগ্রহী না। যাইহোক, এখন আপনি এই সমস্ত কিছু পড়েছেন, নিজেকে লড়াইয়ের লড়াইয়ে লড়াই করার লড়াইয়ে লড়াই করে এবং জিনিসগুলি সুরক্ষিত রাখতে আপনি যা করতে পারেন তার মধ্যে নিজেকে বিবেচনা করুন। :)

তথ্যসূত্র:

http://www.microsoft.com/en-us/download/details.aspx?id=4868

http://technet.microsoft.com/en-us/library/cc700846.aspx

http://technet.microsoft.com/en-us/library/bb456992.aspx

আফাইক, ডোমেন / নেটওয়ার্ক প্রশাসকদের পক্ষে তাদের ওয়ার্কস্টেশনটিতে লগইন করার জন্য রুটিন "ব্যবহারকারীর" কার্য সম্পাদন করার জন্য (ইমেল, ডকুমেন্টেশন ইত্যাদি) সর্বোত্তম অনুশীলন হিসাবে বিবেচিত হয় এবং উপযুক্ত নামযুক্ত প্রশাসনিক অ্যাকাউন্ট থাকতে পারে তাদের প্রশাসনিক কাজ সম্পাদনের অনুমতি দেওয়ার জন্য গ্রুপ সদস্যপদ।

এটি আমি অনুসরণ করার চেষ্টা করি এমন মডেল, যদিও বিদ্যমান আইটি কর্মীরা এভাবে ব্যবহার করতে অভ্যস্ত না হলে এটি কার্যকর করা শক্ত।

ব্যক্তিগতভাবে, যদি আমি কোনও আইটি কর্মী খুঁজে পাই যা এই দিকে অগ্রসর হওয়ার জন্য তত্পর হয় তবে আমি এই মতামত নিয়েছি যে তারা হয় অলস, অনভিজ্ঞ, বা তারা সিস্টেম প্রশাসনের অনুশীলন বুঝতে পারে না।

সুরক্ষার কারণে এটি সর্বোত্তম অনুশীলন। অন্যরা যেমন উল্লেখ করেছে, এটি আপনাকে দুর্ঘটনাক্রমে কিছু করতে বা নেটওয়ার্ক ব্রাউজ করা থেকে আপস করা থেকে বাধা দেয়। এটি আপনার ব্যক্তিগত ব্রাউজিংয়ের ক্ষতির পরিমাণও সীমাবদ্ধ করে - আদর্শভাবে, আপনার প্রতিদিনের কাজ এমনকি স্থানীয় প্রশাসকের অধিকারী হওয়া উচিত নয়, ডোমেন প্রশাসকের তুলনায় অনেক কম much

এটি হ্যাশ বা উইন্ডোজ প্রমাণীকরণ টোকেন হাইজ্যাকগুলি পাস করার জন্য অবিশ্বাস্যরূপে কার্যকর । ( উদাহরণ ) একটি সঠিক অনুপ্রবেশ পরীক্ষা এটি সহজেই প্রমাণ করে দেবে। যথা, একবার আক্রমণকারী কোনও স্থানীয় প্রশাসক অ্যাকাউন্টে অ্যাক্সেস অর্জন করার পরে, তারা সেই শক্তিটি একটি ডোমেন অ্যাডমিন টোকেন সহ কোনও প্রক্রিয়াতে স্থানান্তরিত করতে ব্যবহার করবে। তারপরে তাদের কার্যকরভাবে সেই ক্ষমতা রয়েছে।

লোকেরা এটি ব্যবহারের উদাহরণ হিসাবে, আমার সংস্থাটি করে! (২০০ জন লোক, man জন লোক দল) আসলে আমাদের ডোমেন প্রশাসনের অ্যাকাউন্ট রয়েছে তিনটি-অ্যাকাউন্টে। প্রতিদিনের ব্যবহারের জন্য একটি, স্থানীয়ভাবে পিসি প্রশাসনের জন্য / সফ্টওয়্যার ইনস্টল করার জন্য। তৃতীয়টি হল ডোমেন প্রশাসনের অ্যাকাউন্টগুলি এবং এটি সার্ভার এবং ডোমেন পরিচালনার জন্য সম্পূর্ণ ব্যবহৃত হয়। আমরা যদি আরও বেমানান / সুরক্ষিত থাকতে চাইতাম তবে চতুর্থটি সম্ভবত অর্ডার হবে।

আমার প্রাক্তন সংস্থায়, আমি জোর দিয়েছিলাম যে সমস্ত সিস্টেম অ্যাডমিনগুলি 2 টি অ্যাকাউন্ট পেয়েছে, যেমন:

• DOMAIN এর \ st19085
• DOMAIN \ st19085a (প্রশাসকের জন্য "একটি")

কলেজিয়াগুলি প্রথমে অনিচ্ছুক ছিল তবে এটি একটি থাম্বের নিয়মে পরিণত হয়েছিল, ভাইরাস ভাইরাসের হুমকি সম্পর্কে "" আমরা একটি অ্যান্টিভাইরাস পেয়েছি "সম্পর্কে সাধারণ প্রশ্নের পরে একটি পুরানো ভাইরাসের ডেটাবেস দ্বারা নামিয়ে দেওয়া হয়েছিল ...

• যেমনটি আপনি উল্লেখ করেছেন, রুনাস কমান্ডটি ব্যবহার করা যেতে পারে (আমি ব্যাচের স্ক্রিপ্ট ব্যবহার করতাম, একটি কাস্টম মেনু উপস্থাপন করে, রুনাস কমান্ডের সাহায্যে সুনির্দিষ্ট কার্য শুরু করেছিলাম)।

• আর একটি বিষয় হ'ল মাইক্রোসফ্ট ম্যানেজমেন্ট কনসোলের ব্যবহার , আপনি আপনার প্রয়োজনীয় সরঞ্জামগুলি সংরক্ষণ করতে পারেন এবং ডান-ক্লিক , রান এ্যাস ... এবং আপনার ডোমেন অ্যাডমিন অ্যাকাউন্ট দিয়ে সেগুলি চালু করতে পারেন ।

• সর্বশেষে তবে সর্বনিম্ন নয়, আমি একটি ডোমেন অ্যাডমিন হিসাবে পাওয়ারশেল শেলটি চালু করেছিলাম এবং সেখান থেকে আমার প্রয়োজনীয় জিনিসগুলি চালু করেছিলাম।

আমি এমন জায়গাগুলিতে কাজ করেছি যা এটি উভয় উপায়ে করে এবং সাধারণত পৃথক অ্যাকাউন্ট থাকা পছন্দ করে। জোকওয়ার্টির অনিচ্ছুক ব্যবহারকারী / গ্রাহকরা যা ভাবেন বলে মনে করছেন তার বিপরীতে এটি আসলে অনেক সহজ:

আপনার সাধারণ, প্রতিদিন ডোমেন প্রশাসকের ক্রিয়াকলাপের জন্য অ্যাকাউন্টটি ব্যবহার করার প্রসেস: হ্যাঁ, সমস্ত প্রশাসনিক সরঞ্জাম রানাস ছাড়াই আমার ওয়ার্কস্টেশনে কাজ করে! W00t!

আপনার সাধারণ ব্যবহারের ক্ষেত্রে, ডোমেন প্রশাসকের ক্রিয়াকলাপগুলির জন্য প্রতিদিন অ্যাকাউন্ট: ভয়। ;) ডেস্কটপ টেক আপনাকে একটি মেশিনটি দেখতে বলেছে কারণ সে কী আছে তা বুঝতে পারে না, আপনি লগইন করুন, এতে একটি ভাইরাস রয়েছে। নেটওয়ার্ক কেবলটি আনপ্লাগ করুন, পাসওয়ার্ড পরিবর্তন করুন (অন্য কোথাও)। পরিচালকরা যখন আপনার সেল ফোন সরবরাহকারীর মাধ্যমে আপনার ব্যক্তিগত ব্ল্যাকবেরিতে আপনার কাজের ইমেলটি কেন পান না তখন আপনাকে তা বোঝাতে হবে যে আপনি যখন এটি করেন তখন তারা আপনার DOMAIN এডমিন পাসওয়ার্ডটি তাদের সার্ভারে সঞ্চয় করে। ইত্যাদি ইত্যাদি আপনার অতিপ্রযুক্তিযুক্ত পাসওয়ার্ডটি ... ওয়েবমেল, ভিপিএন, এই ওয়েবপৃষ্ঠায় লগ ইন করার মতো জিনিসের জন্য ব্যবহৃত হয়। (পূর্বে) সত্য কথা বলতে গেলে, আমার অ্যাকাউন্টটি "আপনার পাসওয়ার্ড পরিবর্তন করুন" ওয়েবপৃষ্ঠা থেকে অবরুদ্ধ করা হয়েছিল, তাই অন্ততপক্ষে সেখানে ছিল I সহকর্মীর ডেস্কে)

ডোমেন প্রশাসকের ক্রিয়াকলাপের জন্য আলাদা অ্যাকাউন্ট ব্যবহার করার প্রসেস: উদ্দিষ্ট। যে অ্যাকাউন্ট হয় অভিপ্রেত প্রশাসনিক সরঞ্জাম, ইত্যাদি জন্য, এবং ইমেল ওয়েবমেলের, VPN, ওয়েবপেজ লগইন, ইত্যাদি জন্য না, তাই, কম ভয় যে আমার স্বাভাবিক "ব্যবহারকারী" কার্যক্রম ঝুঁকির সমগ্র ডোমেইন ঠেলে দিচ্ছি।

ডোমেন প্রশাসকের ক্রিয়াকলাপগুলির জন্য আলাদা অ্যাকাউন্ট ব্যবহার করার বিষয়টি: আমাকে প্রশাসনিক সরঞ্জামগুলির জন্য রানাস ব্যবহার করতে হবে। এটা ঠিক যে বেদনাদায়ক নয়।

টিএল; ডিআর সংস্করণ: একটি পৃথক অ্যাকাউন্ট থাকা সহজ সরল । এটি সর্বোত্তম অনুশীলন, কারণ এটি কমপক্ষে প্রয়োজনীয় সুযোগ-সুবিধা ।

নিম্নতম প্রাইভ যথেষ্ট কারণ হিসাবে বিবেচিত হওয়া উচিত, তবে যদি তা না হয় তবে এও বিবেচনা করুন যে আপনি যদি নিজের ব্যবহারকারীদের মতো একই অনুমতি নিয়ে কোনও অ্যাকাউন্ট ব্যবহার করেন তবে তারা যে কোনও সমস্যার মুখোমুখি হতে পারে - এবং আপনি এটিকে নিজের অ্যাকাউন্টে ডিবাগ করতে পারেন খুব - প্রায়শই তারা এগুলি দেখার আগে!

কোনও প্রশাসক যিনি "এটি আমার পক্ষে কাজ করে" বলে এবং টিকিট বন্ধ করে দেয় তার চেয়ে খারাপ আর কিছুই নয় :)

সমস্ত তত্ত্বে, এটি সর্বোত্তম যে আপনি নিজের প্রতিদিনের ক্রিয়াকলাপের জন্য শীর্ষ প্রশাসক লগন ব্যবহার করবেন না। ভাইরাসগুলির মতো প্রচুর কারণ রয়েছে - যদি আপনি কোনও ভাইরাস পান এবং আপনি ডোমেন অ্যাডমিন লগন চালাচ্ছেন তবে ভাইরাসটির আপনার নেটওয়ার্কে যাওয়ার সহজ উপায় আছে, সম্পূর্ণ অ্যাক্সেস! সম্ভাব্য ভুলগুলি নিশ্চিত করা সহজ তবে এটি আমি সবচেয়ে বড় চ্যালেঞ্জ হিসাবে দেখছি না। আপনি যদি আপনার ক্যাম্পাসের আশেপাশে যান এবং আপনার শীর্ষ প্রশাসকের সাথে লগন করেন তবে কেউ আপনার পাসওয়ার্ডের জন্য আপনার কাঁধের উপর দিয়ে তাকিয়ে থাকতে পারে। সব ধরণের জিনিস।

তবে এটি কি বাস্তব? এই নিয়মটি অনুসরণ করা আমার পক্ষে কঠিন মনে হয়েছে তবে আমি এটি অনুসরণ করতে চাই।

সত্যিকারের অভিজ্ঞতার ভিত্তিতে আমার 2 সেন্ট যুক্ত করা হচ্ছে ..

আপনার প্রতিদিনের কাজের জন্য আপনি কোনও প্রশাসক অ্যাকাউন্ট ব্যবহার করছেন তা জেনে রাখা এবং সচেতন করা আপনি যা কিছু করেন তা আপনাকে খুব সতর্ক করে তোলে। সুতরাং আপনি কেবল কোনও ইমেল / লিঙ্কে ক্লিক করবেন না বা ট্রিপল চেকিং ছাড়াই কোনও অ্যাপ্লিকেশন চালান না। আমি মনে করি এটি আপনাকে আপনার পায়ের আঙ্গুলের উপরে রাখে।

আপনার প্রতিদিনের কাজের জন্য কমপক্ষে প্রাইভেট অ্যাকাউন্ট ব্যবহার করা একজনকে অযত্নে পরিণত করে।