Zastanawiam się tylko, kiedy powinieneś ustawić konto użytkownika, aby hasło nigdy nie wygasło. Na jakich kontach to dobry pomysł?
Zastanawiam się tylko, kiedy powinieneś ustawić konto użytkownika, aby hasło nigdy nie wygasło. Na jakich kontach to dobry pomysł?
Odpowiedzi:
Jedynym miejscem, w którym widzę, że jest to uzasadnione, są konta serwisowe. Zazwyczaj nie chcesz, aby hasło konta usługi wygasało, co może spowodować niepowodzenie wszystkich procesów uruchomionych na koncie. Interaktywne konta użytkowników powinny zawsze mieć hasła zgodne z zasadami haseł.
Musisz upewnić się, że jeśli ustawisz konta usług tak, aby nie wygasły, masz dobre procedury dotyczące wysyłania zapytań do tych kont i upewnij się, że ręcznie resetujesz hasła w określonych odstępach czasu. W wielu branżach istnieją standardy zgodności, które wymagają, aby wszystkie hasła do kont były zmieniane w określonych odstępach czasu.
Jedynie raz korzystamy z opcji „Hasło nigdy nie wygasa” na kontach usług. Korzystamy z systemu spoza Active Directory w celu udostępniania kont użytkowników AD, a część z nich zmusza użytkowników do zmiany hasła co 90 dni. Jeśli opcja nie jest zaznaczona, wiadomo, że blokuje się konta i psuje rzeczy o 2 nad ranem, gdy skrypt działa.
Głównym z nich są konta serwisowe, jak wspomniano wcześniej, jednak inna opcja dotyczy kont, które mogą mieć bardzo niski profil ryzyka w połączeniu z rzadkim profilem użytkowania - na przykład konto logowane raz w roku, które daje dostęp tylko do odczytu do niektórych dane niekrytyczne. Gdyby wygasło hasło, użytkownik albo zapisałby hasło, albo skorzystał z pomocy technicznej za każdym razem, aby zresetować hasło.
Nie jest to najlepsza praktyka, ale jeśli ryzyko jest niskie, może to być po prostu słuszne w tym przykładzie.