你们遵循什么流程来维护登录 ID 和密码等身份验证详细信息?肯定会有一些共享密码。因此,目标是尽量减少有人离开公司时的影响。
我所说的“共享密码”是指公司内多个人共享的帐户。
该流程应解决的问题包括:-
受影响的地区. 快速找到离开用户正在访问的资源。
忘记密码。如果用户忘记了身份验证详细信息,该怎么办?他如何获取这些信息?我认为他不应该询问队友。我的意思是非语言交流。
查找资源的依赖关系。假设我正在更改邮件帐户的密码,该密码被一些自动脚本用来发送邮件。在这里,脚本依赖于邮件帐户,因此更改邮件帐户的密码意味着我们也必须更改脚本中的密码。那么,如何找到资源的所有依赖项?
我更希望有一个解决这些问题的流程。但你也可以推荐开源且非托管的产品。我经历过通行证包,但是他们没有解决问题#4。
有一个类似的问题这里。但这并没有准确回答我的问题。
答案1
集中账户
集中账户管理是第一步。一个地方存放凭证,而且只有一个地方存放 - 或者至少只有一个主记录被复制到其他系统,这样就只有一个地方可以进行更改,包括禁用账户。
需要制定员工离职后应遵循的例行程序。这在开始时可能非常繁琐,但仍需要书面记录下来,然后在整个公司内严格遵守。
系统所有者
无论谁负责特定系统,并且所有系统都必须有所有者和管理员,都需要遵守书面政策,例如当有人离开时,并在其系统中进行必要的清理(如果有)。
没有共享帐户
我会直接禁止共享账户 - 一切都应该是私人的,包括路由器/交换机登录名和其他设备,因为某些原因人们认为这是不可能的。事实就是如此,一直如此。
随机化或删除计算机的本地管理帐户密码,不要将其用于任何事情。
当需要更改时,应重新生成资源/服务帐户,或升级到可以在后台自动管理服务帐户密码的系统(例如,使用 Windows 2008 R2 作为 Windows 系统)。如果找不到依赖项,我会将其归咎于缺乏文档或系统假设了太多老式思维,例如在脚本中硬编码密码。立即抛弃这些解决方案。
是的,这可能很难或不可能做到,但要始终努力实现乌托邦——走到一半,一切都会顺利得多^^
许多公司提供了很多围绕身份生命周期管理的概念和软件解决方案 -包括微软。但我认为对于 50 个人来说,大多数都会是纸面政策,并对 IT 系统采取严格务实的方法 - 减少系统数量,遵守 DRY(不要重复自己)原则,只购买与现有平台良好集成的系统。