每个管理员都在和废弃的和未使用的用户帐户作战。我们都知道，如果系统中藏有过期的用户帐户，那么就会给恶意黑客留下更多攻击和藏匿的地方。如果你是个聪明人，那就需要提高警惕，并清除掉它们。

陈旧的和未使用的资源就像是饭店的洗手间。当你第一次走进一家餐馆时要先检查一下洗手间。如果洗手间超级干净，可以打赌这家餐馆的管理非常良好，厨房也一定是非常干净的。而如果洗手间一团糟，那就考虑去别的地方吧。

谁来管理，管理什么

管理员应该建立起策略和程序，以生命周期的模式对电脑的所有对象（用户、组、计算机等）和资源（文件，打印机，应用软件等）封装好。生命周期管理计划应该覆盖的对象和资源包括：*用户帐户*计算机帐户*服务帐户守护进程（daemon）帐户*工作组*电子邮件地址和对象*打印机*各项应用*磁盘存储*文件夹、共享文件和Web文件夹*IP子网*LDAPActiveDirectory对象*组策略对象（如果使用了ActiveDirectory）*数字证书*稽核警报计划（Auditingalertingplan）

你所控制的每一项任务，相关的对象还有资源都应包含在生命周期计划内。生命周期计划最低限度也要包括下列活动，：*获得供应创建批准*分配所有权问责制*更改修改重命名复制移动转移*禁用删除反供应*变化确认*稽核提醒监测（Auditingalertingmonitoring）*文档记录

如果没有适当的生命周期策略和程序，这些对象和资源往往会随着时间积累，永远不会删除。管理员必须回答谁来创建，谁来批准和谁记录变化这些问题来确保符合生命周期策略。51CTO编者认为，其实系统本身就为我们提供了许多安全设置功能，巧妙地使用这些功能，我们完全可以赤手空拳地应对网络安全问题，比如利用系统组策略，来保证网络安全运行。

怎样管理对象

每个对象应该有一个严格定义的过程，包括谁可以请求或者改变这个对象，做出请求和改变的要求是什么，还有谁拥有对象。

分配所有权能够在未来查询对象的作用和健康程度。最好把所有权分配给特定的一个人而不是一个团队，以免指手画脚的人太多。当然，这也意味着如果所有人角色变更或者离开了工作环境，所有权也必须要更新。

一般来说，对象的添加或更改会对大批电脑与用户的安全性造成影响，因此需要得到相关设备管理系统部门的批准。当添加或更改一个项目时，它的结果应得到另一方的确认，或至少由作出更改的一方来确认。所有的更改应记录进日志。对不能确保安全或可能引起广泛变化的事件应发出警报进行二次审查。51CTO编者建言，这已经是相对比较完善的管理制度了，但在中国很少有中小企业能做到这样管理的，这个问题就目前来看，还没有看到任何适合中小企业的管理可行制度。

比如我目前的客户端是这样安排的，一号设备管理系统管理员的工作是删除过期的测试用户帐户。设备管理系统管理员发现删除花费的时间比预期长的多几分钟而不是几秒。如果删除完成后，过期的用户对象都不见了工作完成。假如一号设备管理系统管理员在删除用户帐户时不小心删除了一个完整的巨大的OU（LDAP组织单位），这时本地稽核系统会立即通知二号管理员。有了适当的稽核系统和报警策略，错误会被立即注意到，误删除的对象可以及时恢复。在51CTO编者看来，像OU这样重要的LDAP帐号存储单位一旦误删除，可能会引发所有用户无法登陆服务器的严重后果。所以备份是非常重要的事情，有需要的朋友可以看下有备无患详细Linux备份与恢复方法这篇文章。

记录文档和工作流

每个对象的生命周期包括所有相关的任务应当记录在案。记录文档应包括谁能够请求一项特定的任务，谁完成这项任务，以及谁核实这项任务正确完成。记录文档应包括谁负责维护和更新文档以使它不会过期。而且这一程序应尽可能自动化完成。许多软件工具都提供了自动化和工作流功能，同时也有更好的安全性和稽核追踪。有些最简单的对象生命周期管理工具使用公司的电子邮件系统来管理工作流。在编者看来，网络高速发展给管理上带来很多难题，比如目前很多设备管理系统系统设备或产品都具备日志功能，这些日志也至少要保留6个月，如何对海量日志进行有效保留，并满足企业基于日志的新需求，已成为日志管理方案共同面临的难题。

最后，适当的策略和程序应始终包括一些快速的非正式处理方法来应对特殊的紧急事件。比如当CEO的用户对象被意外删除掉并且必须恢复时，相信他不会喜欢等到委员会召开或者自动化工具开始周期处理。这也意味着自动化工具必须考虑这些特殊和紧急事件，能够做出快速反应。

制定资源生命周期计划并遵守它，你会有一种把洗手间收拾的焕然一新的感觉。

【本文转载自51CTO.com】

【推荐阅读】

◆设备管理系统运维管理专区

◆系统管理员如何面对角色裂变？

◆系统管理员应该定期完成的九件事

◆强迫症会害死系统管理员

◆设备管理软件软件专区

本文来自互联网，仅供参考