Mi chiedo semplicemente quando è necessario impostare un account utente in modo che la password non scada mai. Per quale motivo è una buona idea?
Mi chiedo semplicemente quando è necessario impostare un account utente in modo che la password non scada mai. Per quale motivo è una buona idea?
Risposte:
L'unico posto in cui posso vederlo giustificato è sugli account di servizio. In genere non si desidera che una password dell'account di servizio scada semplicemente, il che potrebbe causare il fallimento di tutti i processi eseguiti dall'account. Gli account utente interattivi devono sempre avere password che seguono la politica delle password.
È necessario assicurarsi che se si impostano gli account di servizio in modo che non scadano, è necessario disporre di buoni processi per interrogare tali account e assicurarsi di reimpostare manualmente le password a un certo intervallo. Esistono standard di conformità in molti settori che imporranno che tutte le password degli account vengano modificate a intervalli specifici.
L'unica volta che utilizziamo l'opzione "La password non scade mai" è negli account dei servizi. Utilizziamo un sistema esterno ad Active Directory per eseguire il provisioning di account utente AD e parte di esso forza gli utenti a cambiare la password ogni 90 giorni. Se l'opzione non è selezionata, è noto che è possibile bloccare gli account e interrompere le cose alle 2 del mattino quando lo script viene eseguito.
Il principale sono gli account di servizio, come menzionato in precedenza, tuttavia un'altra opzione è per gli account che possono avere un profilo di rischio molto basso combinato con un profilo di utilizzo non frequente, ad esempio un account che viene eseguito l'accesso una volta all'anno che consente l'accesso in sola lettura ad alcuni dati non critici. Se fosse scaduta la password, l'utente scriverebbe la password o utilizzerà l'helpdesk per reimpostare la password ogni volta.
Non è la migliore pratica, ma se il rischio è basso potrebbe essere la cosa giusta da fare in questo esempio.