লিনাক্স / ইউনিক্সের মতো উইন্ডোজ কীভাবে পরিচালনা করব: দুর্ঘটনা ছাড়াই এবং প্রশাসকের পাসওয়ার্ড ভাগ না করে গোষ্ঠী সদস্যতার দ্বারা প্রশাসনিক অধিকার?

8

আমি একটি উইন্ডোজ সার্ভার 2003/2008 পরিবেশে কিছু মৌলিক পরিবর্তন করছি। ইউনিক্সের দিকে, আমার সুরক্ষা সীমাবদ্ধতাগুলি সহজ:

  1. ব্যবহারকারীদের প্রশাসনের অধিকার থাকা উচিত তারা একটি বিশেষ গোষ্ঠীতে ("চাকা" বা অনুরূপ)।
  2. এই ব্যবহারকারীরা যখন এই মেশিনগুলিতে লগইন করেন, তখনও তাদের প্রশাসকের অধিকার থাকে না, যতক্ষণ না তারা স্পষ্টভাবে সেই প্রশাসনিক অধিকারগুলি ("sudo কমান্ড" বা "সু") দিয়ে একটি আদেশ কার্যকর করেন।
  3. এমনকি যখন তারা "su" ("রুনাস" এর মতো সাজান) দিয়ে কমান্ডটি কার্যকর করে, তাদের এখনও একটি পাসওয়ার্ড প্রবেশ করাতে হবে: তাদের নিজস্ব।

এই সিস্টেমে, আমি নিয়ন্ত্রণ করতে পারি কার অ্যাডমিনের অধিকার রয়েছে (গোষ্ঠী সদস্যপদ দ্বারা), দুর্ঘটনাক্রমে অ্যাডমিন সুবিধাসমূহের সাথে কিছু ঘটনাক্রমে ("সু" বা "সুডো" আবশ্যক করে) তাদের আটকাতে বাধা দিতে এবং কোনও "প্রশাসক" প্রকাশ করতে পারেন না (যেমন, "রুট") পাসওয়ার্ড, যেহেতু তাদের নিজস্ব জিজ্ঞাসা করা হয়।

আমি কীভাবে উইন্ডোজ সার্ভারে সমতুল্য করব? আমি দেখতে যে বিকল্পগুলি হ'ল:

  1. ব্যবহারকারী স্থানীয় প্রশাসকদের অ্যাকাউন্ট যোগ করুন কিন্তু তারপর সবকিছু তারা অ্যাডমিন হিসাবে, ত্রুটি ঝুঁকি।
  2. তাদের "রানাস অ্যাডমিনিস্ট্রেটর" করার প্রয়োজন: তবে তারপরে তাদের অ্যাডমিনিস্ট্রেটর পাসওয়ার্ড জানতে হবে, যা আমি ভাগ করে নিতে চাই না।

আমি একসাথে করতে পারি এমন কোনও সমাধান আছে: গ্রুপ সদস্যপদে কাদের অ্যাক্সেস রয়েছে তা নিয়ন্ত্রণ করুন; তাদের পৃথক পাসওয়ার্ডের প্রয়োজনে দুর্ঘটনাক্রমে ক্ষতিকারক কাজগুলি করা থেকে বিরত রাখুন; প্রশাসক পাসওয়ার্ড জানতে তাদের কখনও আটকাবেন?

windows  windows-server-2008  windows-server-2003 
deitch
সূত্র

উত্তর:

8

প্রথমত, কেবল প্রশাসকগণকে অ্যাডমিন অ্যাক্সেস পাওয়া উচিত, যদি না এটির প্রয়োজন হয় এমন বিশাল কারণ (আমি একটি ভাল সম্পর্কে ভাবতে পারি না) তবে এটি প্রশাসকদের কাছে ছেড়ে দেওয়া উচিত; এমন বিরল ঘটনা যখন নিয়মিত ব্যবহারকারীর দ্বারা অ্যাডমিন বেসরকারীদের পাওয়া যায়, এবং তারপরেও আমি কেন তাদের এটি প্রয়োজন তা নিয়ে সাধারণত সন্দেহ করি।

দ্বিতীয়ত, আপনি উইন্ডোতে গ্রুপ সদস্যতা ব্যবহার করে যা করতে চান তা অর্জন করতে পারেন। আপনি বলেননি যে আপনি অ্যাক্টিভ ডিরেক্টরি ব্যবহার করেছেন তাই আমি নিশ্চিত নই যে আপনার কোনও ডোমেন রয়েছে এবং তা করছেন কিনা তবে আপনি সুরক্ষা গোষ্ঠী তৈরি করতে এবং সেগুলিতে পৃথক ব্যবহারকারীর অ্যাকাউন্ট যুক্ত করতে পারেন। এখানে দেখো. আমি পৃথকভাবে সার্ভারে স্থানীয় প্রশাসক গোষ্ঠীতে ব্যবহারকারীদের যুক্ত করব না কারণ এটি অগোছালো হয়ে উঠবে এবং রাস্তায় নজর রাখা শক্ত হবে এবং এটি আপনার এবং সম্ভাব্য সুরক্ষার সমস্যার জন্য প্রচুর মাথা ব্যাথার কারণ হয়ে উঠবে। আমি যা করব, উপরে বর্ণিত হিসাবে, একটি সুরক্ষা গোষ্ঠী তৈরি করা এবং আপনি যে সদস্যদের এই গোষ্ঠীতে প্রশাসক অ্যাক্সেস পেতে চান তা যুক্ত করা। আপনি আপনার ব্যবহারকারীদের জন্য দুটি ব্যবহারকারীর অ্যাকাউন্ট তৈরি করতে চান; একটি নিয়মিত লগইনের জন্য এবং তারপরে একটি দ্বিতীয় অ্যাকাউন্ট যা কেবলমাত্র উন্নত ক্রিয়াকলাপের জন্য ব্যবহৃত হয়েছিল। আপনি সুরক্ষা গোষ্ঠীতে ব্যবহারকারীদের "উচ্চ / সুবিধাবঞ্চিত" অ্যাকাউন্ট যুক্ত করতে চাইবেন, তবে আপনি এই গোষ্ঠীকে প্রকৃত সার্ভারে একটি উন্নত স্থানীয় গোষ্ঠী সদস্যতার জন্য রাখতে পারেন উদাহরণস্বরূপ পাওয়ার ব্যবহারকারীরা বলে। এটি প্রশাসক না হয়ে তাদের অনেকগুলি কার্য সম্পাদন করার অনুমতি দেবে।

অ্যাডমিনিস্ট্রেটর হিসাবে রান হিসাবে যতক্ষণ না, আপনাকে সর্বদা এটি করতে হবে না। অ্যাডমিনিস্ট্রেটর বা কোনও প্রশাসক, পাসওয়ার্ড না জেনে লোকেরা জিনিস চালানোর সর্বোত্তম উপায় হ'ল শিফট + রাইট ক্লিক ক্লিক করুন এবং তারপরে বিভিন্ন ব্যবহারকারী হিসাবে চালান বা রাইট-ক্লিক করুন এবং প্রশাসক হিসাবে চালান নির্বাচন করুন। আপনি প্রথমে তাদের জন্য পৃথক ব্যবহারকারী তৈরি করতে চান যার উপরে উচ্চতর অধিকার রয়েছে, বা উপরে বর্ণিত উন্নত অধিকার রয়েছে (এই উন্নত ব্যবহারকারীটি সুরক্ষা গোষ্ঠীতে আবার উল্লিখিত হিসাবে যুক্ত হবে) তবে এই ব্যবহারকারীর জিনিস চালাতে ব্যবহৃত হতে পারে একটি সাধারণ / স্ট্যান্ডার্ড ব্যবহারকারী অ্যাকাউন্টে লগ ইন করার সময় সমস্ত সময় উন্নতি প্রয়োজন। আমার স্ক্রিনশট দেখুন:

এখানে চিত্র বর্ণনা লিখুন

এডমিন হিসাবে আপনি যতটা চালিয়ে যাচ্ছেন সেদিকে খেয়াল রাখা উচিত। আমি যুক্ত করতে পারি একটি চূড়ান্ত নোট হ'ল ইউএসি চালু রাখা। আপনি যদি এটি করেন তবে ব্যবহারকারীরা সার্ভারে যা করেন সেগুলির জন্য তাদের (উন্নত) পাসওয়ার্ড লিখতে হবে এবং অ্যাডমিন পাসওয়ার্ড নয়। এটি একটি ব্যথা হয় যখন আপনাকে এটি অনেক টাইপ করতে হয় তবে সুরক্ষার জন্য এটি মূল্যবান।

ব্র্যাড বোচার্ড
সূত্র
অন্য 2 টি ঠিক একই পরামর্শ দিয়েছে। আপনি ঠিক বলেছেন, আমরা AD চালিয়ে যাচ্ছি, এবং আমরা সেগুলি একটি সার্ভার প্রশাসক গোষ্ঠীতে যুক্ত করব, যার স্থানীয় অ্যাডমিন সুবিধা থাকবে।
ডিচ
আর:, যে Run as Administratorকোনও প্রশাসনিক শংসাপত্রগুলি করবে। আপনি যে অ্যাকাউন্টটিতে লগ ইন করেছেন তাতে প্রশাসনিক শংসাপত্রগুলি না থাকলে আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড উভয়ের জন্যই অনুরোধ করা হবে এবং সেখানে প্রশাসনিক অ্যাকাউন্ট ইনপুট করতে পারবেন। আপনার পোস্টটি সত্যই এটি পরিষ্কার করে না।
আশাহীন
এবং এই ক্ষেত্রে, আমি আছি sysadmins বিষয়ে কথা। সিসডমিনদের জন্য উত্পাদন / সিস্টেম অ্যাকাউন্টের পাসওয়ার্ড না রাখার জন্য কেবল সুরক্ষা অনুশীলন, কেবল জিনিসগুলিকে নিজের অ্যাকাউন্ট হিসাবে চালানো run আমি এটি সিসাদমিনগুলিতে প্রসারিত করতে চাই।
ডিচ
1
@ ডিইচ হ্যাঁ, আমরা $ [দিবস] এ ঠিক এটি করি। আমাদের সকল আইটি লোকের সাধারণ ব্যবহারকারীর অ্যাকাউন্ট এবং প্রশাসনিক অ্যাকাউন্ট রয়েছে। সীমিত ব্যবহারকারী হিসাবে সবকিছুতে লগইন করুন এবং Run as Administratorযে কোনও কিছুতে উন্নতির প্রয়োজনের জন্য বিকল্পটি কার্যকর করুন । স্থানীয় অ্যাডমিন ব্যবহারকারীদের তাদের (ডোমেন বিশ্বাস ভাঙা ইত্যাদি) না হওয়া পর্যন্ত ব্যবহার করা হবে না
আশাহীন
2
@ হোপলেস এন ২০০ বি জিনিয়সোফনেটওয়ার্ক, সুতরাং রানআসএডমিনিস্ট্রেটারের অর্থ এই নয়, "প্রশাসক অ্যাকাউন্ট হিসাবে চালান", এর অর্থ "এমন কোনও অ্যাকাউন্ট হিসাবে চালান যার প্রশাসকের অধিকার রয়েছে যতক্ষণ আপনি এই জাতীয় কোনও অ্যাকাউন্টের শংসাপত্র সরবরাহ করতে পারবেন"?
ডিচ
5

তাদের স্ট্যান্ডার্ড অ্যাকাউন্টটিকে 'স্ট্যান্ডার্ড' হিসাবে ছেড়ে যান। তাদের একটি সুবিধাজনক দ্বিতীয় অ্যাকাউন্ট তৈরি করুন এবং এটি বিভিন্ন প্রশাসনিক গোষ্ঠীতে যুক্ত করুন। সুবিধাযুক্ত অ্যাকাউন্ট সহ 'রানস' ব্যবহার করুন। (অ্যাডমিন অ্যাকাউন্টের সাথে ইন্টারেক্টিভ লগনগুলি অক্ষম করতে আপনি এটি দরকারী মনে করতে পারেন, তবে আবার - এটি সম্ভবত বিরক্তিকর হবে)।

Sobrique
সূত্র
1
আমি এটা পাই. সুতরাং আপনার 2 টি অ্যাকাউন্ট রয়েছে: সোব্রিক এবং সোব্রিকএ। কনবোল / রিমোটে যে কোনও সিস্টেমে লগইন করা থেকে সোব্রিকুইএকে অবরুদ্ধ করা হয়েছে, কেবল রানাস করতে পারে। সোব্রিকুএ প্রশাসকের সুবিধাসহ একটি গোষ্ঠীর সদস্য। ব্যবহারকারী সোবারিক হিসাবে লগ ইন করে তারপরে "রানাস সোব্রিকএ" করে যার জন্য সোব্রিকএ পাসওয়ার্ডের প্রয়োজন হয় এবং এই জাতীয় সমস্ত কমান্ড সম্পূর্ণ অ্যাডমিন সুবিধার সাথে চালিত হয়। এটি কিছুটা বিশৃঙ্খলাযুক্ত, তবে আরও খারাপ হতে পারে।
ডিচ
2
ঐটা ঠিক.
ব্র্যাড বাউচার্ড
1
ইন্টারেক্টিভ লগনগুলিকে সম্বোধন করার জন্য +1। অন্যথায় ব্যবহারকারীরা কেবল প্রশাসকের শংসাপত্রগুলির সাথে লগইন করবেন এবং প্রশাসক হিসাবে প্রতিটি ক্রিয়াকলাপের বিষয়ে ওপি'র উদ্বেগের বিষয় হতে পারবেন।
বায়রন সি
4

সার্ভার 2003 এ, আপনাকে Run As...প্রশাসনিক সুযোগ-সুবিধা সহ অ্যাকাউন্ট হিসাবে চালনার বিকল্পটি ব্যবহার করতে হবে ।

সার্ভার ২০০+ এর সাহায্যে আপনি ইউএসি এবং / অথবা Run as Administratorআপনার প্রস্তাবিত বিকল্পটি ব্যবহার করেন । এর জন্য [স্থানীয়] প্রশাসনিক অ্যাকাউন্টে পাসওয়ার্ড জানার দরকার নেই - যে কোনও প্রশাসনিক শংসাপত্রগুলি তা করবে।

সুতরাং আপনি স্থানীয় প্রশাসনিক গোষ্ঠীতে তাদের অ্যাকাউন্টগুলি যুক্ত করতে বা সুরক্ষা দৃষ্টিকোণ থেকে পৃথক প্রশাসনিক অ্যাকাউন্ট তৈরি করে স্থানীয় প্রশাসনিক গোষ্ঠীতে এগুলি যুক্ত করতে চাইবেন। তারপরে, যখন প্রশাসনিক সুযোগ-সুবিধাগুলি নিয়ে তাদের কোনও চালনার দরকার হয়, ইউএসি প্রশাসনিক শংসাপত্রগুলির জন্য অনুরোধ জানাবে এবং / অথবা তারা Run As.../ Run as Administratorবিকল্পটি ব্যবহার করবে ।

HopelessN00b
সূত্র
এটি @ sobrique এর উত্তরের সাথে খুব মিল। উইন অ্যাকাউন্টগুলি অ্যাডমিনের সুবিধাগুলি পেয়েছে কিনা তা ভেবে দেখেছেন? এবং "এই অ্যাকাউন্টটিতে প্রশাসক হিসাবে জিনিসগুলি চালনার অধিকার আছে যদি এটি স্পষ্টভাবে জিজ্ঞাসা করে এবং পুনরায় প্রমাণিত করে" এর ধারণা নেই?
ডিইচ
1
মূলত, না। উইন্ডোজের সুরক্ষার অধিকারগুলির একটি গোছা রয়েছে - সাধারণত সেই অধিকারগুলি একটি গোষ্ঠীকে দেওয়া হয় (কারণ প্রতি ব্যবহারকারীকে দুষ্টু হয়)। গ্রুপের সদস্যপদ অধিকার প্রদান করে। সাধারণ অভ্যাসটি কেবল অ্যাডমিন অ্যাকাউন্ট ব্যবহার করে লগইন করা, কারণ এটি সহজ - তবে এর অর্থ এটি সঠিক নয়। আমরা স্থানীয় ব্যবহারকারীর অ্যাকাউন্ট এবং ডোমেন প্রশাসক অ্যাকাউন্ট পেয়েছি যা আমরা ম্যানেজমেন্ট সার্ভারগুলিতে লগ ইন করতে ব্যবহার করি (যা উইন্ডোজ পরিচালনা সরঞ্জামগুলি ইনস্টল করে দিয়েছে)।
সোবারিক
আপনি 'সেকপল.এমএসসি' দিয়ে কৌতুক করতে পারেন এবং কাস্টম রাইটস প্রোফাইলটি কনফিগার করতে পারেন - 'ঠিক প্রশাসক নন' গোষ্ঠীতে অ্যাক্সেস মঞ্জুর করতে পারেন এবং এতে প্রাথমিক ব্যবহারকারী অ্যাকাউন্টগুলি যুক্ত করতে পারেন। তবে আপনি সম্ভবত এখনও কোনও 'যথাযথ' অ্যাডমিন অ্যাকাউন্টের প্রয়োজনে ট্রিপ করবেন।
সোবারিক
1
@ ডাইচ ওয়েল, এটিই মূলত ইউএসি / মঞ্জুরি দেয়। এটি আপনাকে প্রশাসনিক অ্যাকাউন্ট হিসাবে চালানোর অনুমতি দেয়, তবে এমন কোনও কিছুর জন্য অনুরোধ করা হবে যা "উচ্চতা" প্রয়োজন। (স্প্লিট-টোকেন প্রমাণীকরণ।) এটি উইন্ডোজ কোনও "অ্যাডমিনিস্ট্রেটর বা প্রশাসক নন" দ্বৈতত্ত্ব তৈরি করার প্রযুক্তিগত বিষয় নয়, তবে প্রশাসক হিসাবে কোনও কিছু চালানো এমন একটি সাধারণ বৈশিষ্ট্য যা একে নির্দিষ্ট মেনু বিকল্প দেয়। বেশিরভাগ ক্ষেত্রে, এই বিকল্পটি কঠোরভাবে প্রয়োজনীয় নয় (আপনি সর্বদা কেবল অন্য একজন ব্যবহারকারী হিসাবে চালানো যেতে পারেন, যিনি প্রশাসক হয়েছিলেন) তবে সেখানে সেই মেনু বিকল্পটি পাওয়া আরও সুবিধাজনক।
আশাহীন
1
ওয়েল, জন এখনও জন্য পরিচয়পত্র জানার প্রয়োজন হবে একটি একজন প্রশাসক হিসেবে রান কিছু প্রশাসনিক অ্যাকাউন্ট - এটা শুধু হতে হবে তা নয় প্রশাসকের অ্যাকাউন্টে।
আশাহীন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.