none
יצירת משתמש עבור הרצת Services RRS feed

  • שאלה

    1.       אנו עובדים עם דומיין מבוסס 2012.

    מריצים אצלינו כל הזמן התקנות של Vcenter של SQL  ועוד מערכות שונות אשר דורשות הזנת user מהדומיין במהלך ההתקנה לשם הרצת ה services

    כיוון ששינוי סיסמא הוא חובה על כל משתמש כל מס' חודשים הגדרתי יוזר ספציפי שמשמש עבור ההתקנות הללו שתוקף הסיסמא שלו לא פג לעולם.

    הוא משמש רק עבור ההתקנה ואיתו רץ ה service, כך שלא תהיה בעייה עם העניין בעתיד

    האם זו הדרך הנכונה לבצע זאת?

    2.  האם ישנה דרך למנוע log in של ה user הנ"ל למכונות במעבדה?

    איני מעוניין שישתמשו במשתמשים הנ"ל בכדי לבצע log in למכונות או להתחברות ל Vcenters למשל, אלא שהם ישמשו להרצת ה services בלבד.

    כיצד אני מונע זאת?

    האם השינוי אמור להתבצע ב Logon Hours או ב Log On To במאפייני החשבון של אותם משתמשים שאני רוצה למנוע ביצוע login למכונות באמצעותם?

    האם הדבר לא ישפיע על הרצת ה Services באמצעות היוזר הנ"ל?

    תודה:)

    יום חמישי 24 אפריל 2014 08:50

תשובות

  • הי,

    שאלה 1

    מדיניות סיסמאות צריכה להיקבע מראש ולפי תכנון של אבטחת מידע, גם באותה מדיניות צריך לכלול האם משתמשי Service הם גם חלק מאותה מדיניות.
    בכל ארגון מדיניות סיסמאות היא שונה וגם במשתמשי Service לכן אתה צריך להיערך ולהגדיר נוהל שינוי סיסמאות לסוג משתמשים אלה.

    בגרסת Windows Server 2008 R2 ומעלה ישנו רכיב שנקרא Managed service account המאפשר לבצע כמה פעולות שימושיות בהן שינוי סיסמא אוטומטית.

    תוכל להיעזר במאמרים הבאים לגבי יישום MSA:
    http://technet.microsoft.com/en-us/library/dd548356(v=WS.10).aspx
    http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accounts-understanding-implementing-best-practices-and-troubleshooting.aspx

    שאלה 2

    ניתן למנוע לוגין של משתמש מסוים אל שרת/תחנה או מספר שרתים באמצעות deny logon locally ולפי logon to.

    אלי.

     


    Email:eshlomo9@hotmail.com;Twitter:https://twitter.com/EliShlomo1

    • סומן כתשובה על-ידי dwade03 יום חמישי 24 אפריל 2014 15:24
    יום חמישי 24 אפריל 2014 11:34

כל התגובות

  • הי,

    שאלה 1

    מדיניות סיסמאות צריכה להיקבע מראש ולפי תכנון של אבטחת מידע, גם באותה מדיניות צריך לכלול האם משתמשי Service הם גם חלק מאותה מדיניות.
    בכל ארגון מדיניות סיסמאות היא שונה וגם במשתמשי Service לכן אתה צריך להיערך ולהגדיר נוהל שינוי סיסמאות לסוג משתמשים אלה.

    בגרסת Windows Server 2008 R2 ומעלה ישנו רכיב שנקרא Managed service account המאפשר לבצע כמה פעולות שימושיות בהן שינוי סיסמא אוטומטית.

    תוכל להיעזר במאמרים הבאים לגבי יישום MSA:
    http://technet.microsoft.com/en-us/library/dd548356(v=WS.10).aspx
    http://blogs.technet.com/b/askds/archive/2009/09/10/managed-service-accounts-understanding-implementing-best-practices-and-troubleshooting.aspx

    שאלה 2

    ניתן למנוע לוגין של משתמש מסוים אל שרת/תחנה או מספר שרתים באמצעות deny logon locally ולפי logon to.

    אלי.

     


    Email:eshlomo9@hotmail.com;Twitter:https://twitter.com/EliShlomo1

    • סומן כתשובה על-ידי dwade03 יום חמישי 24 אפריל 2014 15:24
    יום חמישי 24 אפריל 2014 11:34
  • תודה אלי אני אבדוק לגבי ה MSA

    בהנחה והתקנתי, למשל Vcenter אשר ה Service שלו רץ עם יוזר בדומיין.
    במידה ולאחר מס' חודשים היוזר משנה סיסמא, האם העניין ישפיע על ה Service או שזה שקוף מבחנת ה Vcenter?


    יום חמישי 24 אפריל 2014 13:33
  • הי,

    במידה ואתה משנה סיסמא לאפליקציה מסוימת אתה צריך לוודא:

    שינוי של סיסמאות ברמת משתמש Service
    שינוי של הסיסמא ברמת Service עצמו
    תלוי אפליקציה - שינוי סיסמא ברמת המערכת/אפליקציה

    אם אתה משתמש ב-MSA לאחר שינוי ברמת משתמש ה-Service מתעדכן אוטומטית.
    האם זה ישפיע על vcenter - תלוי באיזה רמה אתה משנה את הסיסמא (root, db)?

    אלי.


    Email:eshlomo9@hotmail.com;Twitter:https://twitter.com/EliShlomo1

    יום חמישי 24 אפריל 2014 14:06
  • אוקיי אז אם ככה לשנות ברמת המשתמש ואז לעבור כל שרת ולשנות בו את הסיסמא ב service עצמו נשמע, כמובן לא הגיוני.

    אבדוק בנוגע ל MSA

    תודה:)

    יום חמישי 24 אפריל 2014 15:23
  • הי,

    שאתה מפעיל MSA הרעיון הוא שכל השינוי נעשה ברמת המשתמש ולאחר מכן Services בשרתים מתעדכנים בצורה אוטומטית ללא שינוי ידני שלך.

    אלי.


    Email:eshlomo9@hotmail.com;Twitter:https://twitter.com/EliShlomo1

    יום חמישי 24 אפריל 2014 16:55
  • מצויין, תודה.

    אני אבדוק את עניין ה MSA

    תודה שוב אלי

    יום שישי 25 אפריל 2014 08:44
  • שלום רב,

    ניתן להגדיר במאפייני חשבון המשתמש לאלו תחנות\שרתים הוא יכול לבצע LOGON. לא ניסיתי לממש זאת על שירותים, אך שווה בדיקה.

    בהצלחה


    Best Regards, Yuval Sinay LinkedIn: https://www.linkedin.com/in/yuval14, Blog: http://blogs.microsoft.co.il/blogs/yuval14

    יום שלישי 29 אפריל 2014 14:08