L'identificazione e il monitoraggio diventano importanti ma sorprendentemente difficili.
Per prima cosa, tagga gli account nella directory in modo da poterli identificare come ID non-utente.
Ogni account non utente deve essere associato al proprietario di un account, qualcuno responsabile della protezione del sistema a cui accede. Memorizza l'identità del proprietario nella voce della directory dell'ID non utente, quindi se vai a cercarli più tardi, sai chi deve essere contattato. Ricorda che i proprietari vanno e vengono con promozioni dei dipendenti, fatturato, ecc., Quindi potresti avere bisogno di un reparto o di un altro tag organizzativo per andare con l'ID del dipendente. L'adesione al gruppo può aiutare qui. Inoltre, man mano che i dipendenti escono, i loro account di directory possono essere eliminati, rendendo inutilizzabile un'ID sconosciuta - un nome è almeno qualcuno che altre persone possono aiutarti a rintracciare.
Potrebbe anche essere utile sapere a quale macchina sono associati gli account. Tieni anche queste informazioni nella tua directory.
Se hai un sistema di richiesta formale, in cui le persone inseriscono i loro requisiti per richiedere l'account, la macchina, ecc., memorizzo il numero di richiesta nella voce della directory. Tuttavia, tieni presente che i sistemi di tracciamento delle richieste possono essere modificati e che le informazioni associate ai numeri di monitoraggio rilasciati 5 anni fa potrebbero non essere più disponibili. Ti consiglio di mantenere il proprietario e le informazioni sulla macchina anche sul registro.
Se non si dispone già di un processo di revisione formale per i propri account, si consideri che quando si implementa uno, si avrà una grande pila di account non utente nella propria directory. Questi dati ti aiuteranno a identificare i revisori (i proprietari dei sistemi dovrebbero rivederli per appropriatezza su base periodica). Considerare di tenere i dati della revisione con il record; potresti persino voler mantenere le informazioni "ultime riviste su / da" nella directory per fornire ai revisori dei conti.
Il motivo principale per conservare queste informazioni è in caso di compromissione. Durante la fase di risposta, è necessario essere in grado di identificare rapidamente le persone associate all'account in modo da poter modificare le password, eseguire la scansione dei sistemi e rintracciarli rapidamente, con il minimo sforzo. Tieni presente che potrebbe essere necessario svolgere questa attività senza avvisare i proprietari del sistema, almeno finché l'indagine è attiva. Potrebbe anche essere necessario fornire informazioni di revisione agli investigatori. È una triste realtà che il compromesso possa provenire da una fonte interna.
Per rispondere al resto della tua domanda, dovresti generare una lunga password, usando un generatore di password crittograficamente strong (non javascript's random ()). Se puoi assegnare questi account e password senza coinvolgere gli umani, utilizzando uno strumento di gestione delle password, è ancora meglio. Ci sono sistemi commerciali che si collegano ai server LDAP per fare molto di questo (dato che sei un negozio Oracle, dovresti controllare con il tuo rappresentante del conto perché vendono un sistema del genere.)