Bel*_*dez 12 security linux windows-server-2008 active-directory puppet
我们是一个相对较小的商店(就系统管理员的数量而言),混合了 RHEL、Solaris、Windows 2003 和 Windows 2008 服务器;总共约200台服务器。
对于我们的管理员帐户(root在 Linux 和admnistratorWindows 中),我们有一个密码方案,该方案取决于数据中心位置和服务器的其他几个记录属性。
在Linux上,我们目前的做法是创建一个共享的非特权帐户在那里我们可以su来root。在基于 Windows 的系统上,我们创建了一个具有管理员权限的附加帐户。这两个帐户共享相同的密码。
这已被证明是非常低效的。当有人离开我们的商店时,我们必须:
我想知道在类似环境中是否有人可以建议一种更明智的方式来管理这些凭据。一些相关资料:
任何想法或建议将不胜感激。这是一个困扰了一段时间的问题,我终于想解决它。
Ber*_*ite 10
我的一些建议是:
Windows AD 连接的服务器可以使用组策略首选项 (GPP) 或计算机启动脚本通过组策略设置其本地管理员密码。请参阅http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/b1e94909-bb0b-4e10-83a0-cd7812dfe073/
除非需要,否则限制在 Windows 服务器上创建本地帐户。尽可能使用 AD 帐户。
使用 LDAP for Linux 计算机向 AD 验证管理员帐户。这在一定程度上简化了帐户管理。当管理员离开时只是在一个地方禁用而没有访问权限,那么您可以在闲暇时清理 Linux 端。
将 /etc/sudoers 文件用于 linux 上的特定管理员帐户,然后管理员不需要 root 密码。这在您的实例中可能很好,因为这样他们将很少需要 root 密码,因此可以将其锁定。更新
将 root 和本地管理员密码保存在密码安全而非常识中。一些密码保险箱具有委托和日志功能,因此如果此人从未访问过密码,您甚至可能不需要重置密码。
自动为 root 和管理员帐户重置密码。Linux 和 Windows 都可以编写脚本来执行此操作,因此它可以为您节省一些时间,而不会造成太大的负担。
希望有帮助。
| 归档时间: |
|
| 查看次数: |
3763 次 |
| 最近记录: |