Nadpis tohoto článku je přesně v tom duchu, jak dostávám tyto otázky na školení. Většinou to zní nějak takto:
- Jak mohu na serveru IBM Domino vytvořit nový admin účet?
- Od externího správce jsme dostali požadavek abychom jim vytvořili admin účet. Jak je tento účet možné vytvořit?
Tak jo, pojďme to uvést na pravou míru. Pokud máte nějakého externího správce (firmu, která Vám dělá správu Domino serveru) se kterým máte uzavřenou servisní smlouvu, tak by Vám měl dát postup jak admin účet vytvořit. Konec konců je to činnost za kterou si je platíte, takže tady jste v pohodě. Všem ostatním pomůže tento článek.
Něco jako admin účet ve smyslu toho, že vytvoříte účet, který díky nějakému „speciálnímu“ postupu založení bude adminem neexistuje. Celé je to o tom, že vytvoříte běžného uživatele a tomuto uživateli následně přidělíte příslušná oprávnění.
Co znamená „příslušná oprávnění“? To záleží na tom jak moc vysoká práva má vytvářený admin mít. Pokud budu předpokládat, že Domino server je v defaultním nastavení co se týká oprávnění pro skupiny a pokud má mít vytvářená admin přístup všude, stačí tohoto uživatele přidat do skupiny LocalDomainAdmins. Většinou jsou Domino servery nastaveny tak, že skupina LocalDomainAdmins je v přístupových právech ke všem databázím a má oprávnění Manager což znamená, že má maximální možná oprávnění a to včetně oprávnění pro Domino directory.
Nejjednodušší způsob tedy je
- Registrovat nového uživatele
- Přidat ho jako člena skupiny LocalDomainAdmins
Co je dobré si uvědomit u výše uvedeného postupu
- Vytváříte privilegovaného uživatele s velmi vysokým oprávněním
- Bude mít přístup do všech databází a pravděpodobně i do emailových schránek
- Bude moci dělat změny v konfiguraci serveru
- Bude moci dělat změny v databázích
- Pokud se jedná o admina z externí firmy, doporučuji nastavit notifikace pokud tento uživatel přistoupí k serveru.
- Pokud se jedná o externí firmu která vám má pouze dohlížet na Domino server(y), dávat doporučení, ale nedělat žádné aktivní činnosti, tak dát nižší oprávnění
- Vytvářet admin uživatele pouze na základě oprávněného požadavku (IT manažer, Security manažer, …) zadaného nějakým ticketovacím systémem (Servicedesk, Helpdesk, …).
- Zamyslet se zda je OK, pokud Vás o admin účet požádá externí firmy která Vám dělá support. Vždy by to mělo být tak, že vy jako správce Domino serveru dáváte oprávnění která chcete aby měl.
- Privilegovaného uživatele vždy přidělovat konkrétní osobě
- O předání privilegovaného účtu mít podepsaný protokol o předání.
- IBM Domino server neloguje co uživatel dělal v nějaké konkrétní databázi nebo jaké dokumenty otevřel. K tomu je potřeba externí nástroj nebo mít toto losování programově ošetřené v konkrétní databázi.
Může se zdát že výše uvedené body jsou přehnané a třeba i zbytečné. Bohužel na jejich opodstatnění většinou přijdete až je pozdě.
Pokud si myslíte si, že je tento tip užitečný, budu rád když ho budete sdílet s kolegy a případně i na sociálních sítích.
Máte nějaký nápad na Notes tip, který by se měl objevit zde na stránkách? Napište mi Váš námět emailem nebo do komentáře k článku.