משיב מוביל
יצירת משתמש עבור הרצת Services

שאלה
-
- אנו עובדים עם דומיין מבוסס 2012.
מריצים אצלינו כל הזמן התקנות של Vcenter של SQL ועוד מערכות שונות אשר דורשות הזנת user מהדומיין במהלך ההתקנה לשם הרצת ה services
כיוון ששינוי סיסמא הוא חובה על כל משתמש כל מס' חודשים הגדרתי יוזר ספציפי שמשמש עבור ההתקנות הללו שתוקף הסיסמא שלו לא פג לעולם.
הוא משמש רק עבור ההתקנה ואיתו רץ ה service, כך שלא תהיה בעייה עם העניין בעתיד
האם זו הדרך הנכונה לבצע זאת?
2. האם ישנה דרך למנוע log in של ה user הנ"ל למכונות במעבדה?
איני מעוניין שישתמשו במשתמשים הנ"ל בכדי לבצע log in למכונות או להתחברות ל Vcenters למשל, אלא שהם ישמשו להרצת ה services בלבד.
כיצד אני מונע זאת?
האם השינוי אמור להתבצע ב Logon Hours או ב Log On To במאפייני החשבון של אותם משתמשים שאני רוצה למנוע ביצוע login למכונות באמצעותם?
האם הדבר לא ישפיע על הרצת ה Services באמצעות היוזר הנ"ל?
תודה:)
תשובות
-
הי,
שאלה 1
מדיניות סיסמאות צריכה להיקבע מראש ולפי תכנון של אבטחת מידע, גם באותה מדיניות צריך לכלול האם משתמשי Service הם גם חלק מאותה מדיניות.
בכל ארגון מדיניות סיסמאות היא שונה וגם במשתמשי Service לכן אתה צריך להיערך ולהגדיר נוהל שינוי סיסמאות לסוג משתמשים אלה.
בגרסת Windows Server 2008 R2 ומעלה ישנו רכיב שנקרא Managed service account המאפשר לבצע כמה פעולות שימושיות בהן שינוי סיסמא אוטומטית.תוכל להיעזר במאמרים הבאים לגבי יישום MSA:
http://technet.microsoft.com/en-us/library/dd548356(v=WS.10).aspx
http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accounts-understanding-implementing-best-practices-and-troubleshooting.aspx
שאלה 2ניתן למנוע לוגין של משתמש מסוים אל שרת/תחנה או מספר שרתים באמצעות deny logon locally ולפי logon to.
אלי.
Email:eshlomo9@hotmail.com;Twitter:https://twitter.com/EliShlomo1
- סומן כתשובה על-ידי dwade03 יום חמישי 24 אפריל 2014 15:24
כל התגובות
-
הי,
שאלה 1
מדיניות סיסמאות צריכה להיקבע מראש ולפי תכנון של אבטחת מידע, גם באותה מדיניות צריך לכלול האם משתמשי Service הם גם חלק מאותה מדיניות.
בכל ארגון מדיניות סיסמאות היא שונה וגם במשתמשי Service לכן אתה צריך להיערך ולהגדיר נוהל שינוי סיסמאות לסוג משתמשים אלה.
בגרסת Windows Server 2008 R2 ומעלה ישנו רכיב שנקרא Managed service account המאפשר לבצע כמה פעולות שימושיות בהן שינוי סיסמא אוטומטית.תוכל להיעזר במאמרים הבאים לגבי יישום MSA:
http://technet.microsoft.com/en-us/library/dd548356(v=WS.10).aspx
http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accounts-understanding-implementing-best-practices-and-troubleshooting.aspx
שאלה 2ניתן למנוע לוגין של משתמש מסוים אל שרת/תחנה או מספר שרתים באמצעות deny logon locally ולפי logon to.
אלי.
Email:eshlomo9@hotmail.com;Twitter:https://twitter.com/EliShlomo1
- סומן כתשובה על-ידי dwade03 יום חמישי 24 אפריל 2014 15:24
-
-
הי,
במידה ואתה משנה סיסמא לאפליקציה מסוימת אתה צריך לוודא:
שינוי של סיסמאות ברמת משתמש Service
שינוי של הסיסמא ברמת Service עצמו
תלוי אפליקציה - שינוי סיסמא ברמת המערכת/אפליקציהאם אתה משתמש ב-MSA לאחר שינוי ברמת משתמש ה-Service מתעדכן אוטומטית.
האם זה ישפיע על vcenter - תלוי באיזה רמה אתה משנה את הסיסמא (root, db)?אלי.
Email:eshlomo9@hotmail.com;Twitter:https://twitter.com/EliShlomo1
-
-
-
-