আমি একটি ছোট সংস্থায় 2 সার্ভার এবং 30 ক্লায়েন্ট সহ কাজ করি। আমরা সম্পূর্ণ উইন্ডোজ সার্ভার 2003 / এক্সপি P আমি ছাড়াও, পরিচালক ও অপারেশন ডিরেক্টরগুলির একটি ডোমেন প্রশাসকের অ্যাকাউন্টে অ্যাক্সেস প্রয়োজন।
আমাদের কোনও কারণে একাধিক ডোমেন প্রশাসক অ্যাকাউন্ট থাকা উচিত (লগিং, সুরক্ষা বা অন্যথায় পরিবর্তন করুন)? একাধিক ডোমেন অ্যাডমিন অ্যাকাউন্ট না থাকার কি কারণ আছে?
উত্তর:
প্রশাসনিক কার্যক্রম সম্পাদন করে এমন প্রতিটি ব্যবহারকারীর সেই ক্রিয়াকলাপগুলি সম্পাদন করার জন্য একটি ডেডিকেটেড অ্যাকাউন্ট থাকা উচিত। উইন্ডোজ পরিবেশে বিল্ট-ইন (আরআইডি 500) প্রশাসকের অ্যাকাউন্টে জরুরি অবস্থার জন্য জটিল পাসওয়ার্ড সেট, প্রিন্ট করা এবং নিরাপদে লক করা উচিত etc.
সুরক্ষার একটি সাধারণ নীতি এইরকম হয়: আপনি জানতে চান কে (প্রশাসনিক, এক্ষেত্রে) কোন ক্রিয়াকলাপ সম্পাদন করছে (অর্থাত্ নিরীক্ষার ট্রেইল রয়েছে accounts অ্যাকাউন্টগুলি ভাগ করে নেওয়ার বিষয়টি পানির বাইরে চলে যায়।
আরও, আপনি পাসওয়ার্ড সুরক্ষা, সমাপ্তি ইত্যাদির লঙ্ঘনের ক্ষেত্রে কোনও ব্যক্তির অ্যাক্সেস বিচ্ছিন্ন করতে সক্ষম হতে চান। ভাগ করা অ্যাকাউন্টগুলিও সেই মানদণ্ড পূরণ করে না।
যে কোনও ধরণের ভাগ করা, সাধারণ ব্যবহারের অ্যাকাউন্টগুলিকে মান হিসাবে অত্যন্ত সন্দেহজনক মনে করা উচিত, তবে ভাগ করে নেওয়া প্রশাসনের শংসাপত্রগুলি সর্বদা খারাপ are
পুনরায়: সীমাবদ্ধ দূরবর্তী ডেস্কটপ / টার্মিনাল পরিষেবাদি সংযোগগুলির মতো উইন্ডোজ-স্পেসিফিক বিবেচনাগুলি: আপনার সহকর্মী প্রশাসকদের কাছে কৌতূহলী হন এবং সংযোগ বিচ্ছিন্ন সেশনগুলি ছেড়ে যাবেন না। আমি খুঁজে পেয়েছি যে সামাজিক চাপ ছোট সংস্থাগুলিতে মোটামুটি কার্যকরভাবে কাজ করে (যেমন ঘন ঘন এবং উচ্চস্বরে উল্লেখ করা যে অ্যাডমিন এক্সএক্সএক্স XXX সার্ভারগুলি লগঅফ করতে মনে রাখে না)। আপনি যদি সত্যই করতে চান তবে আপনি সর্বদা অন্যান্য ব্যবহারকারীর সংযোগ বিচ্ছিন্ন সেশনগুলি বুট করতে পারেন। এটি সংযোগের প্রয়াসে 30 সেকেন্ড পরে সম্ভবত যুক্ত হয়। বৃহত্তর সংস্থায়, বা এটি যদি কোনও বড় সমস্যা হয়ে যায়, আপনি সংযোগ বিচ্ছিন্ন সেশন সময়সীমা বাস্তবায়ন বিবেচনা করতে পারেন।
আপনি একটু আইটি পরামর্শদাতাকে উল্লেখ করেছেন, তবে সম্ভবত এটি অনন্য বিষয়: একটি আইটি ঠিকাদার হিসাবে নিজেকে আমি সর্বদা নিজের জন্য একটি নিবেদিত প্রশাসনের অ্যাকাউন্টের জন্য অনুরোধ করি এবং আমি কোনও "ভাগ" করা প্রশাসনের শংসাপত্রগুলি না জানার দাবি করি। এটি উভয় পক্ষকে রক্ষা করে এবং একটি নিরীক্ষণের ট্রেইল সরবরাহ করে। আমি সর্বদা চাই যে আমার গ্রাহকরা এই মুহুর্তের নোটিশে "আমাকে" লক আউট "করতে পারেন (এবং আসলে সেই ক্ষমতাটিও অর্জন করতে পারেন) কারণ আমি বিশ্বাস করি এটি একটি শক্তিশালী বার্তা প্রেরণ করে যা আমি দৃ with়তার সাথে সম্পর্ক বজায় রাখার ব্যাপারে আত্মবিশ্বাসী এগুলি আমার দক্ষতার যোগ্যতা এবং আমি যে মূল্য সরবরাহ করি তার উপর ভিত্তি করে, তারা আমার কাছে "লকড" আছে এমন কিছু অস্পষ্ট অনুভূতির ভিত্তিতে নয়।
একাধিক অ্যাকাউন্ট না থাকার একটি কারণ:
আপনি যদি রিমোট ডেস্কটপ ব্যবহার করে সমস্ত কিছু পরিচালনা করেন তবে আপনার সেগুলির সীমাবদ্ধতা থাকতে পারে। লোকেরা যদি লগ আউট না করে কেবল দূরবর্তী ডেস্কটপ সেশনটি বন্ধ করে দেয় তবে তারা দ্রুত বেঁধে যাবে।
একাধিক অ্যাকাউন্ট থাকার একটি কারণ:
খারাপ কিছু ঘটলে আপনি দেখতে পারবেন কে লগ ইন হয়েছিল। সত্যিই যদিও, আপনার যদি দলের একটি ভাল পরিবেশ থাকে তবে যে কেউ কিছু করেছে কেবল সেটিকেই এটি স্বীকার করবে।
ইভানের উত্তর ভাল। এছাড়াও মনে রাখবেন যে প্রতিদিনের কাজের জন্য আপনার প্রশাসক অ্যাকাউন্টটি ব্যবহার করা উচিত নয় - আপনি যদি সরাসরি নিজের ওয়ার্কস্টেশনে কিছু চালাচ্ছেন তবে সর্বদা রানাস বা অনুরূপ দিয়ে অ্যাডমিন কমান্ডগুলি চালান।
পরিষেবা অ্যাকাউন্টগুলির জন্য, আপনি ইন্টারেক্টিভ লগনগুলিকে আরও সুরক্ষিত করতে অক্ষম করতে পারেন।
একটি চূড়ান্ত বিষয়, আপনি আপনার সার্ভারগুলিতে সুরক্ষা নিরীক্ষণ চালু করেছেন এবং সুরক্ষা ইভেন্টের লগ যথেষ্ট পর্যাপ্ত রয়েছে তা নিশ্চিত করুন (আমি সাধারণত এটি 20MB বা আরও বেশি সেট করি)