Правила именования учетных записей
Тщательное планирование схемы именования учетных записей пользователей позволяет стандартизировать идентификацию пользователей домена. Единое соглашение также облегчает распознавание и запоминание имен пользователей.
Существует много разных соглашений, применимых при создании имен, и у каждого администратора или проектировщика сети есть свои предпочтения. Однако хорошее соглашение об именовании должно быть таким, чтобы имена для входа легко запоминались, а также чтобы можно было различать сотрудников с похожими именами.
Есть несколько правил, которые нужно соблюдать при планировании стратегии именования пользователей [3]:
- Каждый пользователь должен иметь уникальное имя (логин) в домене.
- Длина имени не должна превышать 20 символов (для совместимости с предыдущими версиями Windows).
- Имена не чувствительны к регистру букв.
- Имена не должны содержать следующих символов: ", /, \, [, ],:,;, =,,, +, *,?, <, >.
- Должна поддерживаться гибкая система именования.
- Необходимо учитывать совместимость именования для других приложений (например, для электронной почты).
Контроллеры домена должны проверять идентификацию пользователя или компьютера, прежде чем предоставить доступ к системным и сетевым ресурсам. Такая проверка называется аутентификацией и выполняется всякий раз при входе в сеть.
|
|
При планировании стратегии аутентификации рекомендуется соблюдать ряд правил [3]:
- Политика блокировки учетных записей (рекомендуемое значение для пользователя — 5 попыток).
- Ограничение времени, в которое разрешен вход.
- Политика истечения сроков билетов (tickets) (значение по умолчанию — 10 часов).
- Не использовать административные учетные записи для обычной работы.
- Переименовать или отключить встроенные учетные записи.
Следующий наиболее важный аспект сетевой безопасности — пароли, поэтому политику определения паролей пользователей необходимо тщательно продумать. В Windows Server 2003 по умолчанию действуют более строгие ограничения на пароли, чем в предыдущих версиях. Например, в Windows Server 2003 имеется новое средство, проверяющее сложность пароля учетной записи «Администратор» (Administrator). Если пароль пустой или недостаточно сложный, Windows предупреждает, что использовать нестойкий пароль опасно; при этом пользователь, оставивший поле для пароля пустым, не сможет обращаться к учетной записи через сеть.
Надежная политика управления паролями гарантирует, что пользователи в полной мере соблюдают принципы задания паролей, установленные компанией. При планировании политики управления паролями рекомендуется соблюдать ряд правил [3]:
- Политика сохранения последних паролей (рекомендуемое значение: 24).
- Смена пароля не чаще, чем 1 раз в сутки.
- Длина пароля не должна быть короче 7 символов.
- Использование сложной схемы для паролей (строчные, прописные буквы, цифры и другие символы).