系统管理员如何管理企业员工的帐号和群组?在我此前做网络管理的时候,这篇好像是转自一个白皮书上的文档教了我许多。现在拿出来,供大家参考。
管理使用者账号与资源存取
在企业中,管理「使用者账号(user accounts,或称使用者账户)」与「群组(groups)」是系统管理者的基本工作。要有效率地进行这工作,一个好的系统管理者得先了解使用者账号与群组,以及它们的运作方式。
建立使用者账号的首要理由,是为了验证每一个计算机使用者的身份。第二个(但依然重要)的理由则是给予使用者存取权限,让使用者存取适当的资源。
资源包括了档案、目录、以及硬件装置。如何存取这些资源及其管理工作,占据了系统管理者的大部分时间。群组可以将使用者账号归类在同一个范畴之内。举例来说,如果公司里面有几个系统管理者,那我们可以将这些管理者账号放到「系统管理者群组」中,然后给予这个群组所有系统管理应有的权限。如此一来,群组就成为管理与存取资源非常重要的工具。
本节将更深入地探讨使用者账号与群组。
管理使用者账号
正如刚刚所说,使用者账号是用来辨识使用者身份,并授予权限的基石;它包含了几项东西:首先是使用者名称,然后是密码,最后则是用来控制存取的信息。
接下来我们将仔细讨论这三项基本要素。
1. 使用者名称
以计算机系统的角度来说,使用者名称只是「你是谁?」这问题的答案。因此使用者名称有个非常重要的条件 — 一定得独一无二。换句话说,同一台系统上,每个使用者都该有个与众不同的使用者名称,才能跟其它人区别。
也因此,「事先」决定如何建立使用者名称,就成为非常重要的事情。否则的话,当每次有新使用者要求建立新账号时,您就得伤一次脑筋。
您需要的,是一份使用者账号的命名规则(naming c
1.1. 命名规则
为使用者名称建立一份命名规则之后,您就可以避免许多麻烦。您只要先花点时间制作这份规则,之后的使用者账号都得依循这方式制作;而不用再绞尽脑汁想使用者名称(您会发现好的使用者名称会愈来愈难找)。命名规则可以很简单;也可以写上好几页。
要制作这命名规则,有几点得先纳入考虑:
• 企业组织的大小
• 企业组织的架构
• 企业组织的本质
您企业组织的规模大有关系,因为这牵扯到命名规则要支持多少使用者。举例来说,小公司里的员工只要用英文名(不含姓)即可;但对大公司来说,这方法可能就行不通。
在决定命名规则时,组织架构也同样占有重要的角色。对于组织严密的企业来说,把架构的一部分加入命名规则中,是个不错的建议。举例来说,您可以在每个使用者名称中,加入部门代号。
企业的本质也会让您的命名规则与其它公司的有所不同。注重机密性的公司所采用的命名方式,可能就跟个人基本数据毫无关系。如果公司内部有个员工叫做 maggie mcomie,她的使用者名称可能是 luh3417。
底下是企业常使用的命名方式:
• 名(john、paul、george 等等)
• 姓(smith、j 等等)
• 名的第一个字母,后面接着姓(jsmith、pj
• 姓,后面接着部门代码(smith029、j 等等)
***提示***
如果您的命名规则会在使用者名称之后加入其它的数据,请务必小心:有时候这使用者名称听起来会很可笑、或是不雅。因此,即使使用者名称是自动建立的,您还是要有一些机制,做最后的检查。
根据命名规则,随着使用者日渐增多,您迟早会遇到使用者名称重复的问题,这称为「冲突(collisi
1.1.1. 处理冲突问题
冲突是不可避免的 — 不管您怎么尝试,迟早都会遇到冲突的问题。您应该在命名规则中,加入解决冲突的计划。底下是您可以采取的方式:
• 在冲突的使用者名称之后,加入序号(smith、smith1、smith2 等等)
• 为起冲突的使用者名称,加入使用者的特定信息(smith、esmith、eksmith 等等)
• 为冲突的使用者名称加上组织方面的信息(smith、smith029、smith454 等等)
在命名规则中加入解决冲突的方法,是绝对必要的。然而,对于公司之外的人,要确定谁是谁,就不是件容易的事情。因此,命名规则遇到的最大问题,就是偶尔会有人送错电子邮件。
1.2. 处理使用者名称的变更问题
如果您公司的命名规则使用的是使用者的名字,那么您迟早会面临更改账号名称的问题。即使使用者的本名不变,他们有时还是会要求您更改账号名称。这原因很多,从使用者不满意账号名称,到高阶主管利用他们的权势,希望换一个「更适当」的名称等等,不一而足。
不管原因为何,更改使用者名称时,有几点一定要牢记在心:
• 要更动「所有」受影响的系统
• 维护使用者身份数据的一致性
• 所有档案与使用者相关资源的所有权,都要一并修改(如果需要的话)
• 处理电子邮件的相关问题
首先,一定要确定使用者之前使用过的系统,都修改了与账号有关的相对应信息。否则的话,任何藉由使用者账号运作的系统功能,都有可能面临无法工作的命运。有些操作系统使用存取控制技巧,特别着重使用者账号;这类系统对修改使用者账号所衍生出来的问题,特别束手无策。
许多操作系统藉由使用者认证号码来处理与使用者相关的工作。要让变更使用者账号所衍生的问题降到最低,不妨让新旧帐号的认证号码一致;否则的话,使用者常会无法存取之前使用旧帐号时,可以存取的档案与其它资源。
如果您一定得修改使用者认证号码,那么请一并修改所有跟使用者相关的档案与资源之所有权,以反映新的使用者身份。这过程多半会出问题,因为系统中总有些东西,被遗忘在不被注意的角落里。
电子邮件恐怕是变更使用者账号时,最困难的问题之一。因为除非您采取行动解决,否则寄到旧使用者账号的电子邮件,是不会送到新使用者账号去的。
但很不幸的,更改使用者账号所导致的电子邮件问题是非常多面性的。最基本的,其它人要联络这个人的时候,就不知道该寄信到哪个账号去。乍看之下,这似乎没什么影响 — 发信通知公司里的所有人就可以了。但是公司以外的人呢?要怎么通知他们?内部与外部的邮寄清单该怎么办呢?要怎么更新这些清单?
这些问题都不容易回答。最好的方式大概是建立一个电子邮件的别名(alias),让所有寄到旧邮件账号的信,都会自动转到新的信箱去。然后使用者可以藉由这些来信,通知亲朋好友们把信寄到新账号去。久而久之,寄到旧帐号的信就会愈来愈少,然后您就可以移除这个别名了。
虽然使用别名总会让人混淆(想想,现在叫做 esmith 的人,还在使用 ej 这个账号);但这是让电子邮件送达正确使用者手上的唯一方法。
***重要***
如果您使用电子邮件别名,一定要确定旧的使用者账号不会被重复使用。如果您不注意这点,有个新使用者承接了旧帐号,那不管寄给旧使用者或新使用者的电子邮件,都会造成混乱。混乱的程度跟您设定邮件递送的方式有关,但多半不出这两种情形:
• 新使用者收不到任何邮件 — 全部邮件都到旧使用者手上去了。
• 旧使用者再也收不到任何电子邮件 — 邮件全部寄给新使用者了。
2. 密码
如果使用者回答了「你是谁」这个问题,那密码无疑就是第二个问题的解答:
「证明给我看!」
用更正式的字眼来说,使用者藉由账号表明自己的身份,而密码则是证明这一点的工具。密码能不能有效证明一个人的身份,主要仰赖密码的几个特性:
• 密码的秘密性
• 密码不能被轻易猜出
• 密码不能轻易地被暴力破解法破解
符合以上条件的,称为「强固(str
• 由系统管理者帮所有使用者指定密码。
• 系统管理者让使用者自订密码;但在接受密码前,检查密码是否强固。
为所有使用者建立密码可以确保安全性;但随着组织不断成长,这工作会让人视之畏途。同时太难的密码也会迫使使用者用笔写下来。
基于这些原因,大部分系统管理者宁愿让使用者自行建立密码。不过,好的系统管理者会采取一些步骤,验证这些密码是否严谨。
欲知如何建立强固的密码,请参阅《安全性设定手册》中,工作站安全(workstation security)一章。
让密码保持秘密,应该是每个系统管理者根深蒂固的观念。但是这对一般使用者来说,就不是件容易的事。事实上,许多使用者甚至连账号跟密码都分不清楚。这可悲的现实正告诉我们,一定要教育使用者,让他们了解,密码就跟信用卡号一样重要。
密码应该愈难被猜出愈好。真正强固的密码是***猜不出来的,即使***非常了解您亦然。
暴力破解法(brute-force attack)会用尽所有可能的组合方式(通常使用「破解程序(password-cracker)」),直到猜出正确的密码为止。强固的密码要让可能的组合方式愈多愈好,迫使***得花上非常长的时间,才能找出正确的密码。
我们将在以下章节中,分别为您详细讨论强固的密码与不牢靠的密码。
2.1. 不牢靠的密码
如以上所述,不牢靠的密码无法通过以下任何一种测试:
• 够不够秘密
• 是否不容易被猜出
• 是否不容易被暴力破解法猜出
底下章节将为您说明为何密码会不牢靠
2.1.1. 密码太短
密码太短并不安全,因为很容易就被暴力破解法破解出来。要说明这点,您不妨看看底下的列表,密码组合一栏里,指得就是用暴力破解法所要测试的次数。(本情况假定密码只使用了小写字母。)
密码长度 可能的密码组合
1 26
2 676
3 17,576
4 456,976
5 11,881,376
6 308,915,776
表格 6-1. 密码长度与可能的密码组合
如您所见,密码长度每增加一个字母,密码组合的数量就会大幅增加。
***注意***
虽然本表只列到六个字母,但这并不表示六位数够安全。一般来说,密码愈长愈好。
2.1.2. 有限的字符集
密码中组成每个字符的变化程度,会对暴力破解法产生极大的作用。举例来说,如果我们不但使用 26 个小写字母来组成密码,还再加上阿拉伯数字呢?这表示密码中每个字符的组合,会从 26 种提升到 36 种。以六个字符长度的密码而言,这表示可能的密码组合会从 308,915,776 提升到 2,176,782,336种。
除此之外,我们还有更多选择。如果我们使用大小写字母与阿拉伯数字(如果操作系统支持的话),那么六个字符长的密码组合,就会窜升到 56,800,235,584 种。加上其它的字符(例如标点符号)可以大幅增加密码组合,让暴力破解法难以达成目的。
不过要记得,获取密码的方式不是只有暴力破解法而已。底下描述了其它导致密码不牢靠的原因。
2.1.3. 字典上有的字
许多使用者只会采用记得住的密码,这也是破解密码的***下手的地方。对大部分人来说,最好记的密码包含了一般常用的字。因此,***会试着用字典文件,比对使用者密码中是不是含有常见的字,或由这些字所组成。
***注意****
许多字典类的密码***使用了多种语言的字典文件。因此,用非英文的字当作密码,并不能被视为是强固的密码。
2.1.4. 个人信息
包含个人信息的密码(如男女朋友、宠物的姓名或生日,身份证字号等等)可能会(也可能不会)被字典方式的攻破。但是,如果***者是您熟知的人(或有足够动机研究您个人信息的人),他就有可能轻易地猜出您的密码。
除了字典以外,许多***也会把常见的名字、日期、与其它类似信息加入搜寻的范围中。因此,即使***不知道您家小狗的名字是「gracie」,他也可能用好的破解程序,猜出您的密码是「mydogisgracie」。
2.1.5. 简单的文字游戏
如果您使用以上讨论的方法建立密码,然后把字母顺序颠倒过来,不牢靠的密码不会因此而变得强固。大部分密码破解程序也会这套把戏,甚至将文字中的某些字母,用数字替代。以下是几个例子:
• drowssapdab1
• r3allyp00r
2.1.6. 一组密码走遍天下
即使您有一组强固的密码,也不该用在多台计算机上。当然,如果您的系统使用的是中控式的身份认证,那就没有这层顾虑;但在其它情形下,您应该为每一部系统个别设定密码。
2.1.7. 写在纸上的密码
要让强固的密码变成不牢靠的密码,最好的方法莫过于写下来。把密码记在纸上,那就不再是秘密不秘密的问题,而是实体安全的问题 — 现在您得把这张纸藏好。因此,把密码写下来绝对不是好主意。
然而,有些公司规定一定要把密码写下来。例如一些公司的灾害复原计划中就明定,为了避免关键人员(例如系统管理者)发生意外,导致系统管理无以为继,就必须把密码记载下来。在这种情况下,纪录密码的这张纸就必须存放在安全的地方,在多人合作下才能取出;例如有多重安全锁的金库,或是银行保险箱。
把密码记载下来以备不时之需的公司,都该明了不管把这密码存放在多安全的地方,都会增加系统安全的风险。尤其是大家都知道密码被记载下来(而且放在哪里)的时候。
但很不幸的,把密码写下来多半不是复原计划的一部分,也不会锁在金库里;会把密码写下来的多半是一般使用者,而且放在以下地方:
• 在抽屉里(不管有没有上锁)
• 在键盘下面
• 在皮夹子里
• 贴在屏幕旁边
以上都不是存放密码的好地方。
2.2. 强固的密码
我们已经看到不牢靠的密码是什么样子;接下来我们将看看一组强固的密码,该有什么样的特征。
1.2.2.1. 较长的密码
密码愈长,就愈不容易让暴力破解法得逞。因此,如果您的操作系统支持,请为您的使用者设定密码的最小长度。
2.2.2. 扩充字符集
鼓励使用者使用混合大小写与数字的密码,并强烈建议加入至少一个非文数字的字符:
• t1te-bf,te
• lb@lbhom
2.2.3. 容易记住
记得住的密码,才算是强固的密码。然而,好记跟好猜,一向密不可分。因此,不妨给您的使用者一些提示,帮他们建立建立好记、又不容易被猜出的密码。
举例来说,拿一句常见的格言或谚语,取每个字的第一个字母,组成密码的一部分。这密码好记(因为组成密码的这句话很好记);但却不是字典里找得到的字。
***注意***
记得,光用一句话里面每个字的第一个字母,还不足以产生强固的密码。请混用大小写与数字,再加上至少一个特殊字符,以增加字符集的大小。
2.3. 密码的期限
可能的话,为公司设立密码期限的规则。许多操作系统都有密码期限这功能,让密码只在一定的时限内有效。当密码过期时,系统会请使用者输入新密码,直到下一次过期为止。
密码的时效性是让许多系统管理者困扰的主要问题。到底应该多长呢?
决定密码时效性的两个考虑点,就像天平的两端一样,难以找到一个平衡点:
• 使用者的便利性
• 安全性
一方面,99 年后才失效的密码,给了使用者最大的方便;但几乎没有任何安全性可言。
另一方面,每 99 分钟过期一次的密码对使用者来说一点都不方便;但却提供了绝佳的安全性。
唯一的方法是在使用者的便利性,以及公司的安全性之间,找出一个平衡点。在企业界最常见的密码期限,是从几周到几个月长。
3. 存取控制的信息
除了使用者名称与密码外,使用者账号还包含了存取控制的信息;根据操作系统的不同,这信息的格式也不一。然而,这类信息多半包括了:
• 及于整台系统、与特定使用者相关的识别信息
• 及于整台系统、与特定群组相关的识别信息
• 列出使用者所属的额外群组 / 能力
• 用于所有使用者建立的档案与资源之预设存取信息
在有些公司里,使用者的存取控制信息永远不需要修改;举例来说,单机或个人工作站就是。其它公司,尤其是常常在不同群组与使用者间分享网络资源的公司,就常常会修改使用者的存取控制信息。
要花费多少精力,才能适切地维护使用者的存取控制信息?这答案跟您公司从操作系统处,存取这些信息的频率有关。大量仰赖这些功能的主意不坏(事实上,也很难避免);但这也表示您需要投入更多精力,维护整个计算机环境。同时,为每个使用者设定账号时,发生错误的机会也会大增。
因此,如果公司需要使用这种环境,您应该为建立与设定使用者账号的步骤,制作详尽而准确的文件。事实上,如果公司中有不同类型的使用者账号,那您应该为每一种类型,建立个别的文件(如何建立财务员工部门员工的账号、如何建立操作人员的账号等等)。
4. 账号与资源存取的例行管理工作
就像一句谚语说的,这世界上唯一不变的,就是什么都会变。使用者账号的问题也不例外。新人来,旧人出;要不就是换到另一个职位去。所以系统管理者要能对这些改变做出反应,并视为每天的例行工作之一。
4.1. 新进员工
当新人进入公司,公司会让他们存取若干资源(端看他们的责任而定),例如办公室隔间、电话、还有大门钥匙。
公司也可能会配给他们一部以上的计算机。对此,身为系统管理者,您一定得迅速并适切的反应。但该怎么做呢?
您要先知道有新人进入公司,才能开始进行下一步动作。每个公司通知您的方式不一,底下是几个例子:
• 建立作业流程,当新进员工抵达时,让人事部门通知您。
• 建立表格,让新进员工的主管填写,并据此为员工申请新账号。
不同的公司使用不同的方式;不管方式为何,您一定要确定有个非常牢靠的流程,让您知道账号相关的事务,好完成相关工作。
4.2. 离职
员工会离职,那是天经地义的事情;唯一不同的是场景,几家欢乐几家愁。不管是哪种情况,您都该知道有人离职,好采取适当的措施。
适当的措施至少包括了:
• 停用使用者存取所有系统与相关资源的权限(通常是改变 / 锁定使用者的密码)
• 备份使用者的档案,其中可能含有将来派得上用场的数据
• 让使用者的主管可以存取离职员工的数据
您的首要任务是不要让离职员工接触系统,尤其是当员工含怨离开的时候。但就算不是这种情形,您也应该马上将离职员工的账号冻结,以确保公司数据的安全。
这也表示公司该有个程序,让您知道员工离职 — 最好在员工正式离职前就知道。这表示您应该与公司的人力资源部门协同,确保您能尽早得知离职信息。
***提示***
冻结离职员工账号的时点也很重要。如果您在员工离职之后才冻结账号,那么离职员工就有可能在这段空窗期中,违规继续使用系统资源;反之,如果在离职手续前就冻结账号,那就好像要迫使员工赶快离职,也会让其它部门的程序更为棘手。
通常离职程序会由一个三方面谈开始:离职员工、离职员工的主管、以及公司人力资源部的代表。因此,您在会谈开始时就得到员工离职的讯息,可以决定最适当的冻结时间。
一旦账号冻结之后,就该备份这离职员工的档案了。离职员工的档案可能可以在公司的例常备份档中找到;您也可以专为离职员工的档案制作备份。至于要怎么处理备份文件,则要看文件保留的时限规定、与离职员工之间的诉讼问题该存证多久等等。
但不管是什么样的问题,现在都是备份的好时机,因为下一步(让使用者的主管存取这些档案)可能会误删不该删除的档案。这样的话,备份就可以让您轻易地从意外中复原,使得主管与您的工作都轻松些。
到了这一步,您就要决定离职员工的主管对这些档案有什么样的存取权限。根据您公司的特性与员工的职位,可能主管不需要存取这些档案,也可能要存取所有档案。
如果该名员工平时只是收收邮件,那么主管可能只要筛选一些档案,决定哪些该留下,哪些该删掉。这过程结束后,剩下的档案就可以交给继任的员工。这阶段您可能需要提供一些协助;但有时主管们能自己处理这些东西。这完全取决于档案内容,以及您组织的工作特性。
4.3. 职位变动
为新进员工建立使用者账号,或是冻结离职员工的账号,都是很直接的过程,手续简单。但当公司里的员工职位变动时,那作业流程就不是那么明确了。有时候您得要更动员工账号,有时候则不用。
要让使用者的账号顺利的从这个职位转到另一个职位去,至少会有三个人参与其中:
• 您
• 使用者之前的主管
• 使用者的新主管
有这三个人的参与,就能决定使用者在旧职位上工作到何时、以及准备新账号的相关事宜,好让使用者马上开始新工作。就很多方面看来,这过程相当于关闭使用者的现有账号,然后再建立一个新的。事实上,当使用者更换职位时,许多公司都采取这样的方式。
然而,您也可能会使用既有的账号,加以修改,赋予新的权限。这方法也意味着您必须详细检视这个账号,让它符合使用者新职位所需的资源与权限。
更复杂的情形则是在转移过程中,使用者必须兼顾新旧两个职位的工作。您可以从使用者前后两位经理身上,得知这项信息。
