คำถามติดแท็ก best-practices

ที่สำนักงานของเราเรามีเครือข่ายท้องถิ่นที่มีการตั้งค่า DNS whatever.lanภายในอย่างหมดจดที่ลูกค้าทุกคนที่มีชื่อเป็น ฉันยังมีสภาพแวดล้อม VMware whatever.vmและในเครือข่ายเสมือนเครื่องเดียวผมชื่อเครื่องเสมือน ปัจจุบันเครือข่ายนี้สำหรับเครื่องเสมือนไม่สามารถเข้าถึงได้จากเครือข่ายท้องถิ่นของเรา แต่เรากำลังตั้งค่าเครือข่ายการผลิตเพื่อโยกย้ายเครื่องเสมือนเหล่านี้ไปยังซึ่งจะสามารถเข้าถึงได้จาก LAN เป็นผลให้เรากำลังพยายามที่จะตั้งอยู่บนการประชุมสำหรับส่วนต่อท้ายโดเมน / TLD เรานำไปใช้กับผู้เข้าพักบนเครือข่ายใหม่นี้เรากำลังตั้งค่า แต่เราไม่สามารถขึ้นมาเป็นหนึ่งที่ดีที่ได้รับว่า.vm, .localและ.lanทุกคนมีความหมายแฝงอยู่ในสภาพแวดล้อมของเรา ดังนั้นวิธีปฏิบัติที่ดีที่สุดในสถานการณ์นี้คืออะไร มีรายชื่อ TLDs หรือชื่อโดเมนบางแห่งที่ปลอดภัยสำหรับใช้กับเครือข่ายภายในอย่างแท้จริงหรือไม่?

115 domain-name-system  local-area-network  hostname  best-practices 

ฉันมีข้อโต้แย้งกับผู้บังคับบัญชาเกี่ยวกับเรื่องนี้ แม้ว่าในช่วงแรกผู้ใช้แล็ปท็อปก่อนหน้านี้ทำงานในโฟลเดอร์เอกสารของตัวเองเท่านั้นฉันควรติดตั้งระบบปฏิบัติการใหม่สำหรับผู้ใช้รายต่อไปหรือลบโปรไฟล์เก่าเพียงพอหรือไม่ ซอฟต์แวร์ที่ติดตั้งส่วนใหญ่ต้องการโดยผู้ใช้ถัดไป ฉันคิดว่าจำเป็นต้องติดตั้ง แต่ยกเว้นอาร์กิวเมนต์ของตัวเองของไวรัสและข้อมูลส่วนตัวเหตุผลอะไรที่จะทำเช่นนั้น? ที่ บริษัท ของเราได้รับอนุญาตให้ใช้พีซีเช่นอีเมลส่วนตัวบนพีซีบางเครื่องติดตั้งเกม เรามีผู้ใช้โทรศัพท์มือถือที่มักจะเป็นลูกค้าที่ไซต์ดังนั้นฉันจึงไม่โทษพวกเขา นอกจากนี้เนื่องจากว่าเรามีผู้ดูแลท้องถิ่นจำนวนมากออกมี ฉันรู้ว่าการใช้งานส่วนตัวและความพร้อมใช้งานของบัญชีผู้ดูแลระบบในพื้นที่ไม่ใช่แนวคิดที่ดี แต่นั่นเป็นวิธีการจัดการก่อนที่ฉันจะทำงานที่นี่และฉันสามารถเปลี่ยนแปลงสิ่งนี้ได้เมื่อฉันไม่ได้ฝึกงาน;) แก้ไข : ฉันคิดว่าคำตอบทั้งหมดที่โพสต์นั้นมีความเกี่ยวข้องและฉันก็รู้ว่าแนวทางปฏิบัติสองข้อที่เรามีใน บริษัท ของฉันนั้นไม่ใช่วิธีที่ดีที่สุดในการเริ่มต้นด้วย (ผู้ดูแลระบบในท้องถิ่นสำหรับคนจำนวนมากเกินไปเป็นต้น) ณ ตอนนี้ฉันคิดว่าคำตอบที่ใช้งานได้ดีที่สุดสำหรับการสนทนาคือคำตอบจากไรเดอร์ แม้ว่าตัวอย่างเขาให้ในคำตอบของเขาอาจจะพูดเกินจริงมันได้เกิดขึ้นมาก่อนที่อดีตพนักงานลืมข้อมูลส่วนตัว เมื่อเร็ว ๆ นี้ฉันได้พบกับเกม Runaway ที่วางจำหน่ายในแล็ปท็อปรุ่นเก่าและเรามีภาพส่วนตัวที่เหลืออีกสองสามกรณีเช่นกัน

112 windows  installation  best-practices  operating-system 

นี่อาจฟังดูเป็นคำถามแปลก ๆ แต่ก็สร้างการสนทนาที่มีชีวิตชีวากับเพื่อนร่วมงานของฉันบางคน พิจารณาอาเรย์ RAID ที่มีขนาดปานกลางซึ่งประกอบด้วยบางอย่างเช่นดิสก์แปดหรือสิบสองแผ่น เมื่อซื้อชุดเริ่มต้นของดิสก์หรือซื้อการเปลี่ยนเพื่อขยายอาร์เรย์หรือรีเฟรชฮาร์ดแวร์จะมีวิธีการสองแบบที่ทำได้ดังนี้: ซื้อไดรฟ์ทั้งหมดในหนึ่งคำสั่งจากผู้ขายรายเดียวและรับกล่องขนาดใหญ่หนึ่งกล่องที่มีดิสก์ทั้งหมด สั่งซื้อหนึ่งชิ้นต่อหนึ่งดิสก์จากผู้ขายหลายรายและ / หรือกระจายออกไป (ในช่วงวันหรือสัปดาห์) หลายคำสั่งของหนึ่งชิ้นต่อหนึ่งดิสก์ เห็นได้ชัดว่ามีพื้นกลางบางส่วน แต่นี่เป็นความคิดหลักของฝ่ายตรงข้าม ฉันสงสัยอย่างแท้จริงว่าวิธีการใดที่เหมาะสมกว่าในแง่ของการลดความเสี่ยงของความล้มเหลวจากหายนะของอาเรย์ (ขอนิยามว่า "25% ของดิสก์ล้มเหลวภายในช่วงเวลาเท่ากับระยะเวลาที่ใช้ในการ resilver อาร์เรย์หนึ่งครั้ง)" ตรรกะคือถ้าดิสก์ทั้งหมดมาจากที่เดียวกันพวกมันอาจมีเหมือนกัน ข้อบกพร่องพื้นฐานที่รอการนัดหยุดงาน ช่วงเวลาเดียวกันกับการนับถอยหลังครั้งแรกที่เหมือนกันบนนาฬิกาหากคุณต้องการ ฉันได้รวบรวมข้อดีและข้อเสียร่วมกันสองสามข้อสำหรับแต่ละวิธี แต่บางคนรู้สึกว่าสัญชาตญาณการคาดเดาและความกล้าหาญแทนที่จะเป็นข้อมูลที่ใช้หลักฐานเชิงประจักษ์ ซื้อทั้งหมดในครั้งเดียวข้อดี ใช้เวลาน้อยลงในขั้นตอนการวิจัย / การสั่งซื้อ ลดต้นทุนการจัดส่งหากผู้ขายคิดค่าใช้จ่าย ดิสก์รับประกันได้ค่อนข้างมากว่ามีเฟิร์มแวร์รุ่นเดียวกันและ "นิสัยใจคอ" เดียวกันในลักษณะการใช้งาน (อุณหภูมิการสั่นสะเทือน ฯลฯ ) การเพิ่มขึ้นของราคา / การขาดแคลนสต็อกไม่น่าจะทำให้โครงการอยู่ตรงกลาง ดิสก์แต่ละแผ่นติดตั้งมาพร้อมกับช่วงเวลาที่จำเป็นต้องทำการติดตั้ง หมายเลขซีเรียลเป็นที่รู้จักทั้งหมดล่วงหน้าสามารถติดตั้งดิสก์ได้ในกล่องหุ้มเพื่อเพิ่มหมายเลขซีเรียล ดูเหมือนจู้จี้มากเกินไป แต่บางคนก็ให้คุณค่ากับมัน (ฉันเดาว่าอินเทอร์เฟซการจัดการของพวกเขาเรียงลำดับดิสก์ตามหมายเลขแทนการสั่งซื้อพอร์ตฮาร์ดแวร์ ... ?) ซื้อทั้งหมดในครั้งเดียวข้อเสีย ดิสก์ทั้งหมด (อาจ) …

96 raid  hard-drive  best-practices  shipping 

ในฐานะโปรแกรมเมอร์เรามักจะใช้ sysadmins เพื่อรับสิทธิ์ ไม่กี่ครั้งที่ฉันไม่เคยดูแลระบบที่ดีมาก่อนก็ทำให้ฉันซาบซึ้งในสิ่งที่พวกคุณทำ เมื่อเราเข้าไปในสภาพแวดล้อมที่ไม่มีระบบการดูแลระบบคุณสามารถเสนอคำแห่งปัญญาให้เราได้บ้าง

96 best-practices 

นี่เป็นคำถาม Canonicalเกี่ยวกับการตั้งชื่อโดเมน Active Directory หลังจากการทดลองกับโดเมน Windows และตัวควบคุมโดเมนในสภาพแวดล้อมเสมือนฉันได้ตระหนักว่าการมีโดเมนไดเรกทอรีที่ใช้งานอยู่ที่ชื่อเหมือนกันกับโดเมน DNS เป็นความคิดที่ไม่ดี (หมายความว่าการมีexample.comชื่อ Active Directory นั้นไม่ดีเมื่อเรามีexample.comชื่อโดเมน ลงทะเบียนเพื่อใช้เป็นเว็บไซต์ของเรา) คำถามที่เกี่ยวข้องนี้ดูเหมือนจะสนับสนุนข้อสรุปดังกล่าว แต่ฉันยังไม่แน่ใจเกี่ยวกับกฎระเบียบอื่น ๆ ที่มีรอบการตั้งชื่อโดเมน Active Directory มีแนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับชื่อ Active Directory ที่ควรหรือไม่

89 windows  active-directory  best-practices 

สมมติสภาพแวดล้อมด้วยคลัสเตอร์ที่จัดการโดยหุ่นกระบอกของเซิร์ฟเวอร์ที่แตกต่างกัน - ฮาร์ดแวร์ซอฟต์แวร์ระบบปฏิบัติการเสมือน / โดยเฉพาะเป็นต้น คุณจะเลือกชื่อโฮสต์ที่มีความหมาย (mysqlmaster01..99, mysqlslave001..999, vpnprimary, vpnbackup, ฯลฯ ) หรือคุณต้องการชื่อโฮสต์ที่ไม่มีความหมายเช่นตัวละครจากหนังสือหรือภาพยนตร์? ปัญหาที่ฉันเห็นด้วยชื่อโฮสต์ที่มีความหมายคือชื่อมักจะเป็นตัวแทนของบริการเดียวและถ้าเซิร์ฟเวอร์มีวัตถุประสงค์มากกว่าหนึ่งวัตถุประสงค์มันจะยุ่งเหยิงจริงๆ (โดยเฉพาะถ้าบทบาทเซิร์ฟเวอร์เปลี่ยนบ่อย) การแมปชื่อบริการกับที่อยู่ IP และการบำรุงรักษาการแมปนั้นควรทำอะไร DNS อะไรคือข้อดีและข้อเสียของวิธีการทั้งสองและคุณมีปัญหาอะไรจริงต้องจัดการกับวิธีการที่คุณเลือก?

79 configuration-management  best-practices 

ฉันจะจ้างคนไอทีเพื่อช่วยจัดการคอมพิวเตอร์และเครือข่ายสำนักงานของฉัน เราเป็นร้านเล็ก ๆ ดังนั้นเขาจะเป็นคนเดียวที่ทำไอที แน่นอนฉันจะสัมภาษณ์อย่างรอบคอบตรวจสอบการอ้างอิงและเรียกใช้การตรวจสอบพื้นหลัง แต่คุณไม่เคยรู้ว่าสิ่งที่จะทำงานออกมา ฉันจะ จำกัด การเปิดเผยของ บริษัท ได้อย่างไรถ้าคนที่ฉันจ้างกลายเป็นคนชั่ว ฉันจะหลีกเลี่ยงการทำให้เขาเป็นบุคคลที่ทรงพลังที่สุดในองค์กรได้อย่างไร

76 security  best-practices 

ฉันสนใจที่จะค้นหาว่าประสบการณ์ของผู้ใช้ชื่อผู้ใช้มาตรฐานคืออะไร ฉันเคยอยู่ในสถานที่ที่ใช้{firstInitial} {lastname} (บางครั้งมีการจำกัดความยาว) ตอนนี้ฉันเป็นผู้ใช้ที่ต้องการ{firstname}. {lastname} - และตอนนี้มันขึ้นมาว่าช่วงเวลาอาจทำให้เกิดปัญหา โดยเฉพาะ: ขีดจำกัดความยาวชื่อผู้ใช้ที่ดีที่สุดที่จะใช้เพื่อรักษาความเข้ากันได้กับการใช้งานทั้งหมดคืออะไร ควรหลีกเลี่ยงอักขระใด UPDATE:เหตุผลที่ฉันไม่ได้พูดถึงเรื่องที่เฉพาะเจาะจงคือฉันต้องการที่จะเป็นคนทั่วไปพอที่จะรับมือกับสิ่งที่อาจเกิดขึ้นในอนาคต อย่างไรก็ตามนั่นอาจเป็นเรื่องธรรมดาเกินไปสำหรับความต้องการ (อาจเกิดอะไรขึ้นใช่มั้ย) นี่คือสภาพแวดล้อมของเรา: เซิร์ฟเวอร์ Ubuntu Lucid Lynx 10.04 LTS, Red Hat Enterprise Linux 5.6 ขึ้นไป, Windows Server 2003 และ Windows 2000 Server (พร้อม Active Directory ใน Windows 2000 Native Mode), Zimbra 7.x สำหรับเมลและ OpenLDAP ใกล้ อนาคต. ปรับปรุง:ฉันควรพูดถึง (เพื่อความสมบูรณ์) …

59 user-accounts  best-practices 

เราทุกคนเห็นตัวอย่างการจัดการสายเคเบิลที่ดีและไม่ดี อะไรคือวัตถุประสงค์และความต้องการที่วัดได้ซึ่งสามารถใช้ในนโยบายเพื่อรักษาลำดับการเดินสายในชั้นวาง / ห้องเซิร์ฟเวอร์ / ศูนย์ข้อมูล ฉันไม่ได้มองหา "อย่าเดินสายปาเก็ตตี้!" แต่ในทางปฏิบัตินโยบายที่วัดได้อย่างเป็นกลางซึ่งสามารถอธิบายได้ปฏิบัติตามและตรวจสอบได้อย่างง่ายดายว่าผ่านหรือไม่ผ่านข้อกำหนดในนโยบาย โปรดหลีกเลี่ยง "อย่าทำ x, y หรือ z" - แทนที่ข้อกำหนดอีกครั้งในรูปแบบ "Do A, B และ C" ซึ่งการปฏิบัติตามข้อกำหนดที่สองจะขจัดปัญหาที่อธิบายไว้ในข้อกำหนดแรก

48 datacenter  best-practices  rack  cable-management  physical-environment 

ฉันมีลูกค้าที่มีพนักงานซึ่งประกอบด้วยพนักงานระยะไกลทั้งหมดโดยใช้การผสมผสานระหว่าง Apple และ Windows 7 เครื่องคอมพิวเตอร์ / แล็ปท็อป ผู้ใช้ไม่ได้พิสูจน์ตัวตนกับโดเมนในขณะนี้ แต่องค์กรต้องการย้ายไปในทิศทางนั้นด้วยเหตุผลหลายประการ เหล่านี้เป็นเครื่องที่ บริษัท เป็นเจ้าของและ บริษัท พยายามควบคุมการปิดใช้งานบัญชีนโยบายกลุ่มและการป้องกันการสูญเสียข้อมูลบางส่วน (ปิดการใช้งานสื่อระยะไกล USB ฯลฯ ) พวกเขากังวลว่าต้องใช้การรับรองความถูกต้อง VPN เพื่อเข้าถึง AD จะยุ่งยากโดยเฉพาะอย่างยิ่งที่จุดตัดของพนักงานที่ยกเลิกและข้อมูลประจำตัวที่แคชไว้ในเครื่องระยะไกล บริการส่วนใหญ่ในองค์กรนั้นใช้ Google (อีเมลไฟล์แชท ฯลฯ ) ดังนั้นบริการโดเมนเดียวคือ DNS และรับรองความถูกต้องสำหรับ Cisco ASA VPN ลูกค้าต้องการที่จะเข้าใจว่าทำไมไม่ยอมรับการเปิดเผยตัวควบคุมโดเมนของตนต่อสาธารณะ นอกจากนี้สิ่งที่เป็นโครงสร้างโดเมนที่ยอมรับมากขึ้นสำหรับพนักงานที่ทำงานระยะไกลการกระจายอย่างไร แก้ไข: Centrifyใช้งานสำหรับลูกค้า Mac จำนวนหนึ่ง

46 active-directory  remote-access  best-practices 

หลังจากการปกครองสั้น ๆของฉันในฐานะSystem Monkeyตอนนี้ฉันกำลังเผชิญกับภาวะที่กลืนไม่เข้าคายไม่ออก: ฉันสร้างการสำรองข้อมูลและการทดสอบ VM สำเร็จทั้งบนแล็ปท็อปของฉันเนื่องจากคอมพิวเตอร์ในที่ทำงานไม่มีพื้นที่ว่างในดิสก์เพียงพอ ฉันยังไม่ได้ลบข้อมูลสำรองเนื่องจากเป็นข้อมูลเดียวในประวัติของ บริษัท ต้นฉบับทำงานบนฮาร์ดไดรฟ์ที่ใช้งานอย่างต่อเนื่องตั้งแต่ปี 2549 ขณะนี้มีเพียงคนเดียวที่เหลืออยู่ใน บริษัท ที่รู้ว่าการสำรองข้อมูลคืออะไรและพวกเขาไม่น่าจะจ้างคนอื่นด้วยเหตุผลที่เกี่ยวข้องกับการเดินทางของฉัน . ครั้งล่าสุดที่ฉันพยายามพูดคุยกับพวกเขาเกี่ยวกับความสำคัญของการสำรองข้อมูลพวกเขาคิดว่าฉันกำลังคุกคามพวกเขา ฉันควรจะเก็บมันไว้ไหม? ข้อดี: ฉันได้รับการช่วยชีวิตผู้คนจากความโง่เขลาของพวกเขาเอง (คำขวัญดูแลระบบอย่างไม่เป็นทางการเท่าที่ฉันรู้) ฉันจะบอกว่า "ฉันบอกคุณแล้ว" เมื่อพวกเขามาขอความช่วยเหลือและรู้สึกดีกับมัน มีมโนธรรมสะอาดดี ตัวแทนโบนัสพร้อมเทพที่เหมาะสม จุดด้อย: ปัญหาทางกฎหมาย: แม้ว่าฉันจะช่วยพวกเขาออกไปด้วยพวกเขาก็อาจฟ้องฉันเพื่อรักษามันต่อไปแม้ว่าจะได้รับสถานการณ์ที่ฉันคิดว่าฉันมีคดีที่ดี ปัญหาทางกฎหมาย: เนื่องจากลักษณะของงานและความปลอดภัยของพวกเขาหากมีบางอย่างรั่วไหลฉันจะเป็นเป้าหมายในการตอบโต้ ปัญหาทางกฎหมาย: อะไรก็ตามที่ฉันไม่ได้คิด ฉันต้องการพื้นที่เพิ่มเติมสำหรับสื่อลามก ปัญหาทางกฎหมาย คุณจะทำอย่างไร ปรับปรุง: ขอบคุณสำหรับคำตอบทั้งหมดคุณได้รับประโยชน์จริงๆ ฉันลงเอยด้วยการสนทนาทางโทรศัพท์ที่บันทึกไว้ยืนยันว่าพวกเขาไม่ต้องการการสำรองข้อมูลพวกเขาไม่ต้องการให้ฉันเก็บไว้พวกเขารู้ว่าฉันมีมันอยู่และพวกเขามีความรับผิดชอบที่จะไม่ต้องสำรองข้อมูลอีกต่อไป ฉันฉีกสำเนาของฉันแล้ว

40 best-practices 

ฉันจะแนะนำ Ansible ให้กับศูนย์ข้อมูลของฉันและฉันกำลังมองหาวิธีปฏิบัติที่ดีที่สุดเกี่ยวกับความปลอดภัยเกี่ยวกับตำแหน่งที่จะค้นหาเครื่องควบคุมและวิธีจัดการกับคีย์ SSH คำถามที่ 1: เครื่องควบคุม แน่นอนเราต้องการเครื่องควบคุม เครื่องควบคุมมีการบันทึกคีย์ SSH สาธารณะไว้ หากผู้โจมตีมีการเข้าถึงเครื่องควบคุมอาจมีการเข้าถึงศูนย์ข้อมูลทั้งหมด (หรือเซิร์ฟเวอร์ที่จัดการโดย Ansible) ดังนั้นจะดีกว่าถ้ามีเครื่องควบคุมเฉพาะในศูนย์ข้อมูลหรือเครื่องควบคุมระยะไกล (เช่นแล็ปท็อปของฉันเชื่อมต่อกับศูนย์ข้อมูลจากระยะไกล) หากวิธีปฏิบัติที่ดีที่สุดคือการใช้แล็ปท็อปของฉัน (ซึ่งอาจถูกขโมยแน่นอน แต่ฉันสามารถบันทึกกุญแจสาธารณะของฉันแบบออนไลน์อย่างปลอดภัยในระบบคลาวด์หรือออฟไลน์บนอุปกรณ์ที่เข้ารหัสแบบพกพา) ถ้าฉันต้องใช้เว็บอินเตอร์เฟส Ansible เช่น Ansible Tower, Semaphore, Rundeck หรือ Foreman ที่จะต้องติดตั้งลงในเครื่องที่รวมศูนย์ไว้ในดาต้าเซ็นเตอร์? จะรักษาความปลอดภัยและหลีกเลี่ยงให้เป็น "จุดการโจมตีเพียงจุดเดียว" ได้อย่างไร? คำถามที่ 2: ปุ่ม SSH สมมติว่าฉันต้องใช้ Ansible เพื่อทำงานบางอย่างที่ต้องดำเนินการโดยรูท (เช่นการติดตั้งแพคเกจซอฟต์แวร์หรืออะไรทำนองนี้) ฉันคิดว่าแนวทางที่ดีที่สุดคือไม่ใช้ผู้ใช้รูทบนเซิร์ฟเวอร์ที่ควบคุม แต่เพื่อเพิ่มผู้ใช้ปกติสำหรับ Ansible ด้วยสิทธิ์ sudo แต่ถ้า Ansible ต้องการทำเกือบทุกงานก็ต้องเข้าถึงทุกคำสั่งผ่าน sudo ดังนั้นตัวเลือกที่ดีที่สุดคืออะไร: …

37 security  ansible  best-practices 

โดยทั่วไปฉันต้องการตั้งค่าการเข้าสู่ระบบแยกต่างหากสำหรับตัวเองส่วนหนึ่งด้วยสิทธิ์ผู้ใช้ปกติและอีกรายการหนึ่งสำหรับงานด้านการดูแลระบบ ตัวอย่างเช่นหากโดเมนเป็น XXXX ฉันจะตั้งค่า XXXX \ bpeikes และบัญชี XXXX \ adminbp ฉันทำมาตลอดเพราะฉันไม่เชื่อว่าตนเองจะเข้าสู่ระบบในฐานะผู้ดูแลระบบ แต่ในทุก ๆ ที่ที่ฉันทำงานผู้ดูแลระบบดูเหมือนจะเพิ่มบัญชีปกติของพวกเขาไปยังกลุ่ม Domain Admins มีวิธีปฏิบัติที่ดีที่สุดหรือไม่? ฉันเคยเห็นบทความจาก MS ที่ดูเหมือนว่าคุณควรใช้ Run As และไม่ใช่เข้าสู่ระบบในฐานะผู้ดูแลระบบ แต่พวกเขาไม่ได้ยกตัวอย่างของการนำไปใช้และฉันไม่เคยเห็นใครทำเลย

33 active-directory  security  domain-controller  best-practices 

เมื่อพนักงานออกจากองค์กรคุณลบหรือปิดใช้งานบัญชี Active Directory ของพวกเขาหรือไม่ SOP ของเราคือปิดใช้งานส่งออก / ล้างกล่องจดหมาย Exchange จากนั้นหลังจาก "เวลา" ผ่านไป (โดยปกติจะเป็นรายไตรมาส) ลบบัญชี มีความต้องการความล่าช้าหรือไม่? หลังจากส่งออกและล้างกล่องจดหมายแล้วทำไมฉันจึงไม่ควรลบบัญชีทันที

32 active-directory  best-practices 

เมื่อเร็ว ๆ นี้ฉันมีนักพัฒนาซอฟต์แวร์โดยไม่ได้ตั้งใจพยายามคืนค่าฐานข้อมูลเป็นการผลิตเมื่อเขาควรได้รับการคืนค่าไปยังสำเนาการจัดเตรียม เป็นเรื่องง่ายที่จะทำเพราะชื่อ db นั้นคล้ายกันคือ CustomerName_Staging กับ CustomerName_Production เป็นการดีที่ฉันจะมีสิ่งเหล่านี้ในกล่องที่แยกจากกันโดยสิ้นเชิง แต่นั่นเป็นราคาที่ห้ามปรามและพูดอย่างเคร่งครัดมันไม่ได้ป้องกันสิ่งเดียวกันที่เกิดขึ้นหากผู้ใช้เชื่อมต่อกับกล่องผิด นี่ไม่ใช่ปัญหาด้านความปลอดภัยต่อผู้ใช้ที่ถูกต้องทำงานกับฐานข้อมูลการจัดเตรียมและหากมีงานที่ต้องทำในฐานข้อมูลการผลิตก็จะเป็นเขาเช่นกัน ฉันชอบที่จะมีเจ้าหน้าที่จัดวางเพื่อแยกข้อกังวลเหล่านั้นออก แต่ทีมก็ไม่ใหญ่พอสำหรับเรื่องนั้น ฉันชอบที่จะได้ยินคำแนะนำในแง่ของการปฏิบัติการกำหนดค่าและการควบคุมเกี่ยวกับวิธีการป้องกันสิ่งนี้

31 sql-server  best-practices