الكثير منا يعلم ما هو حساب المسؤول(Administrator)، وأيضاً حساب المستخدم العام عند يتعلق الأمر بالكمبيوتر الخاص بنا. يشبه المسؤولون الآلهة بينما يشبه المستخدمون عامة الشعب.
ولكن ماذا عن حسابات مجال المسؤول ، حسابات مجال المستخدم ، أو المجموعات المحلية؟ يوجد العديد من الأنواع المختلفة من ملفات التعريف التي تقدم العديد من مستويات الوصول للكمبيوترات، الخوادم، وإعدادات الأنترنت. فهم إمكانية كل منهم بالضبط مهم في الحفاظ على حماية الشبكة والتأكد من مقدرة الجميع على الوصول للمناطق الذين يحتاجون لها لأداء عملهم.
هنا نأخذ نظرة على أكثر إعدادات المستخدم الخاصة بالملف التعريفي شهرة وإساءة فهم.
من يجب أن يكون المسؤول على شبكة الأنترنت الخاصة بك؟
لا يجب لأي مستخدم قياسي الحصول على امتيازات المسؤول على شبكتك. يمكن للمستخدمين الذين لديهم إمكانيات وصول المسؤول كجزء من حساب المستخدم الخاص بهم إحداث أضرار جسيمة بدون قصد إذا (وعلى سبيل المثال) أصيبوا بفيروس يمسح البيانات.
يحتوي الويندوز في العادة على "Windows Active Directory Domain" (مجال المسار النشط) والذي يحتوي على حسابات المستخدم، ويقوم بإدارة الأذونات لكل مستخدم بمجرد دخوله للشبكة.
إذا قام مستخدم بطلب إذن خاص، فيجب أن يحصل على تفاصيل عن حساب المسؤول المحتوي على هذا المستوى من إمكانية الوصول.
حساب مجال المسؤول
للسماح للمستخدمين بالقيام بمهمات إدارية، يجب أن يتم إنشاء حسابات مسؤول خاصة بمستوى معين من إمكانية الوصول للشبكة، ويجب إعطاء بيانات الدخول إلى المستخدمين الطالبين لإمكانية وصول امتيازات المسؤول بين حين وآخر. اسم المستخدم المعتاد النموذجي لحساب المستخدم هو: Administrator (المسؤول).
لاحظ ان تعطيل حساب المسؤول المدمج الافتراضي وإنشاء حساب مسؤول جديد باسم مختلف، مثل، NetworkAdmin (مسؤول الشبكة)، يعتبر فكرة جيدة.
حسابات المسؤول يتم استخدامها لعمل مهمات تحتاج لأذونات خاصة، مثل تثبيت برنامج أو إعادة تسمية الكمبيوتر.
حسابات المستخدم يجب أن يتم التدقيق فيها بطريقة دورية – ويجب أن يحتوي هذا على تغييرات لكلمة المرور، وتأكيد على من يمكنه الوصول لهذه الحسابات.
مجموعات مسؤول المجال على الويندوز
على شبكة الويندوز، يوجد العديد من مجموعات الحماية التي لديها مستوى عالي من إمكانية الوصول لأجزاء مختلفة من الشبكة. هذه المجموعات يجب تدقيقها بطريقة منتظمة للتأكد من عدم وجود مستخدمين عاديين كأعضاء، فقط المسؤولون. المجموعات الافتراضية هي:
- المسؤولين/Administrators
- مسؤولي المجالات/Domain Admins
- مسؤولي التخطيطات/ Schema Admins
- مسؤولي المشروع/Enterprise Admins
ربما يوجد مجموعات أخرى بإمكانيات وصول أعلى تم إنشاؤهم يدوياً، هؤلاء يجب توثيقهم وإضافتهم لعملية التدقيق.
حسابات مجال الخدمة
يوجد نوع آخر من حساب المستخدم المحتوي على إمكانية وصول خاصة لأجزاء من الشبكة – حساب الخدمة. حسابات الخدمة هي حسابات مستخدم يتم استخدامها من قبل برنامج (عادة على خادم) للقيام بعمليات أوتوماتيكية مثل القيام بعمليات نسخ احتياطية، أو إدارة مذاد الفيروسات الخاص بك. هذه الخدمات لا يجب أبداً إعدادها لاستخدام اعتماديات دخول حساب المسؤول – بل يجب أن يكون هناك على الأقل حساب خدمة مخصص لذلك على شبكتك.
حسابات مجال الضيف
يحتوي الويندوز على حساب ضيف افتراضي يسمى ضيف/Guest. حسابات الضيف تلك هي أول مدخل للمخترقين من المجرمين ويجب تعطيلها على الفور وللأبد. إذا تطلب حساب ضيف، فلا يجب أن يكون باسم بهذا الوضوح مثل Guest/ضيف.
في بعض الحالات، من الضروري إعطاء أذونات خاصة أو إدارية للمستخدم. هذا يجب جعله يقتصر فقط على إمكانية الوصول للمسؤول المحلي فقط (هم المسؤولون فقط على كمبيوتراتهم الخاصة وليس المجال).
الحسابات المحلية
هذه مشابهة لحسابات المجال، ولكن مقتصرين فقط على إمكانية الوصول المحلية. الوصول المحلي يمكن أن يكون فقط لجهاز كمبيوتر أو خادم. الحسابات المحلية يمكن أن تكون حسابات المسؤول، حسابات المستخدم العادي، أو حسابات الضيف. حسابات المستخدمين المدمجة الخاصة بالمسؤول والضيف يجب تعطيلها دائماً في محطات العمل، وحسابات المستخدم الخاص بالضيف يجب دائماً تعطيلها على الخوادم.
المجموعات المحلية
على الكمبيوترات والخوادم، يوجد مجموعة حماية افتراضية تدعى المسؤولون. عضوية هذه المجموعة يجب اقتصارها على مجموعة مجال تسمى مسؤولي المجال.