Управление учетными данными безопасности SharePoint - Заключение

Written on . Posted in SharePoint

ОГЛАВЛЕНИЕ

Страница 4 из 4

Заключение

Несмотря на тот факт, что изменение учетных данных фермы и паролей учетных записей безопасности является утомительной и подверженной ошибкам процедурой, не следует бояться того, что такое изменение учетных данных фермы непоправимо повредит ферму серверов. Базу данных конфигурации можно восстановить даже если вы потеряете текущий ключ учетных данных. Вам просто необходимо сбросить затронутые пароли, а это возможно при помощи стандартного инструмента Stsadm.exe или инструмента базы данных низкого уровня, например Reset AppPool Password. Поэтому следует часто менять учетные данные фермы и учетные записи безопасности, использовать надежные пароли, и не следует использовать Network Service в качестве учетной записи безопасности, поскольку это усложняет конфигурацию фермы и устранение неполадок. Следует использовать специальные учетные записи домена.

Теперь, когда вы разобрались с опасностями повреждения базы данных посредством изменения пароля, можно сосредоточиться на реальном недостатке архитектуры безопасности SharePoint: текущая архитектура безопасности не слишком хорошо приспособлена для изменения паролей. Вам требуется применять слишком много команд в более или менее конкретной последовательности в зависимости от типов служб, обновляемых на ферме. Использование некоторых параметров части команды сопряжено с опасными последствиями; у некоторых команд нет опасных параметров. Некоторые команды могут повредить базу данных конфигурации; другие вполне безобидны. Некоторые службы необходимо обновлять глобально в рамках всей фермы, а другие являются локальными на конкретном сервере.

В любом случае административные издержки высоки вследствие возникающих сложностей, и в общем случае уровень безопасности низок вследствие того, что график не предусматривает частых изменений и вследствие ненадежных паролей и сценариев, работающих с паролями в открытом тексте. В моей следующей статье будет показано, как подступиться к этим проблемам и устранить их — для служб всех типов, включая те, которые еще не разработаны, и каковы бы ни были их требования к обновлению паролей. Более никаких изменений паролей вручную!

Пав Черны (Pav Cherny)
javascript форум