Каков процесс, которому вы следуете, чтобы сохранить данные аутентификации, такие как идентификаторы входа и пароли? Определенно будут общие пароли. Итак, цель состоит в том, чтобы минимизировать воздействие, когда кто-то уходит из компании.
Под «общим паролем» я подразумеваю учетную запись, которая используется несколькими людьми в компании.
Проблемы, которые должен решить этот процесс:
Пораженные участки. Быстро найдите ресурсы, к которым у уходящего пользователя был доступ.
Забытый пароль. Что произойдет, если пользователь забудет данные аутентификации? Как он это получил? Я думаю, ему не следует спрашивать товарища по команде. Я имею в виду невербальное общение.
Найдите зависимости ресурса. Предположим, я меняю пароль для учетной записи электронной почты, которая используется некоторыми автоматическими сценариями для отправки писем. Здесь сценарии зависят от учетной записи электронной почты, поэтому изменение пароля учетной записи электронной почты означает, что мы также должны изменить пароль в сценарии. Итак, как найти все зависимости ресурса?
Я бы предпочел процесс, который решает эти проблемы. Но вы также можете порекомендовать продукты с открытым исходным кодом, которые не размещаются на хосте. Я прошел через PassPack, но они не решают №4.
Есть аналогичный вопрос Вот. Но это не совсем ответ на мой вопрос.
Централизованное управление учетными записями будет первым шагом. Одно место для учетных данных и только одно место - или, по крайней мере, только одна основная запись реплицируется в другие системы, поэтому есть только одно место для внесения изменений, включая отключение учетных записей.
Необходимо установить распорядок, которому нужно следовать, когда кто-то уходит. Это может быть в первую очередь ручным, но все же его нужно написать, а затем придерживаться всей компании.
Тот, кто отвечает за конкретную систему, а все системы должны иметь владельца и администратора, должен придерживаться письменной политики, например, когда кто-то уходит, и производить необходимую очистку, если таковая имеется в их системе (ах).
Я бы просто запретил общие учетные записи - все должно быть личным, включая вход в маршрутизатор / коммутатор и другие устройства, где люди по каким-то причинам не думают, что это возможно. Так было всегда.
Перемешайте или удалите пароли локальной административной учетной записи для компьютеров, не используйте их ни для чего.
Учетные записи ресурсов / служб следует повторно создавать, когда требуются изменения, или обновляться до систем, которые могут автоматически управлять паролями учетных записей служб в фоновом режиме (например, с помощью Windows 2008 R2 для систем Windows). Если зависимость не может быть обнаружена, я бы возложил вину за это на отсутствие документации или на систему, которая предполагает слишком много устаревшего мышления, например, жесткого кодирования паролей в сценариях. Быстро выбросьте эти решения.
Да, это может быть сложно или невозможно сделать, но всегда стремитесь к Утопии - на полпути все идет гораздо плавнее ^^
Существует множество концепций и программных решений для управления жизненным циклом идентификации, которые предоставляют многие компании - Microsoft включена. Но для 50 человек большинство будут бумажными политиками imo и строгим прагматическим подходом к ИТ-системам - сократить количество систем, придерживаться принципа DRY (Don't Repeat Yourself) и покупать только те системы, которые хорошо интегрируются с существующей платформой. (s).