Kürzlich wurde unser Netzwerk- und Serveradministrator entlassen. Wir sind eine kleine Organisation und sie kümmerte sich allein um Windows- und Mac-Server. Wir haben versucht, das Netzwerk zu sichern, indem wir das Firewall-Passwort geändert und ihr Windows-Konto deaktiviert haben.
Meine Frage hier bezieht sich eher auf die Sicherung unseres Mac-Servers. Sie hat den Mac-Server auf einem Mac Mini mit OS X 10.11 erstellt und wir verwenden ihn, um Mac-Geräte zu registrieren und Apps über den Profilmanager zu pushen.
Jetzt ist die Herausforderung, dass ich noch nie Macs verwendet habe und keine Erfahrung mit der Verwaltung oder Verwaltung von Servern habe. Ich habe versucht, den Mac-Server zu sichern, indem ich ihr Kontopasswort geändert habe, das sie vor der Abreise angegeben hat. Ich möchte ihr Konto auf dem Mac Mini nicht deaktivieren, da in ihrem Schlüsselbund viele Passwörter gespeichert waren, die wir nicht kennen, und im Moment verwenden wir die gespeicherten Passwörter.
Könnte mir bitte jemand erklären, wie wir unseren Mac-Server sichern können, falls sie einen Sabotageversuch unternimmt, da sie immer noch über iCloud auf unseren Server zugreifen und den Server aus der Ferne löschen kann.
Grundsätzlich müssen Sie zwei Dinge tun, um Ihren Mac vor einem (unfreiwillig) getrennten Mitarbeiter zu schützen:
Dies ist ein sich überschneidender Ansatz, da keiner zu 100 % narrensicher ist. Wenn Sie jedoch so viele der Zugriffspfade von außerhalb der Organisation entfernen, wird alles, was übersehen wird, von den geänderten Kontoanmeldeinformationen abgedeckt; und umgekehrt.
Es hört sich so an, als hätten Sie die Administrator-Anmeldeinformationen, die erforderlich sind, um ihr Konto zu ändern/zu sperren und auf die Firewall zuzugreifen. Was Sie also überprüfen müssen, ist:
Hier kommt es darauf an, wie "bösartig" diese Person Ihrer Meinung nach ist oder sein kann. Sie haben ihr Passwort deaktiviert, aber hatte sie andere Konten oder kannte sie die Passwörter anderer Personen?
Ich stoße ständig auf dieses Szenario, kleine Geschäftskunden neigen dazu, Dinge zu tun, gegen die größere Organisationen Richtlinien haben. Beispielsweise kann jemand ein Problem mit seinem Gerät haben und anstatt sich per Remote-Zugriff einzuloggen, bringt er seinen Laptop mit, und wenn er vom Computeradministrator nach dem Passwort gefragt wird, schreibt der Benutzer es auf.
Dies geschieht, weil in einer kleineren Organisation ein höheres Maß an Vertrauen besteht. Es ist normalerweise kein Problem, bis Sie den Computeradministrator feuern müssen. Das ist nur ein Beispiel.
Wenn Sie glauben, dass die Person böswillig genug ist, um etwas zu tun, lassen Sie alle Passwörter ändern.
Schließlich kann ich Ihnen als jemand, der dies beruflich macht, nicht sagen, wie wichtig es ist, einen externen Berater einzustellen, der Ihnen helfen kann, diese Risiken für Sie zu mindern. Hierbei handelt es sich um eine unabhängige Drittperson (Unternehmen), die einen finanziellen Anteil an der Sicherung Ihrer IT-Ressourcen hat, wird (und sollte) denselben Zugriff wie Ihr(e) Administrator(en) haben. Auf diese Weise können Sie, sollte etwas passieren, eine Person anrufen, die mit Ihrem Netzwerk vertraut ist und über das Fachwissen verfügt, um Sie am Laufen zu halten.
Das Beste ist, dass ein unterzeichneter Vertrag (SLA – Service Level Agreement) zwischen Ihnen und einem Anbieter eine wunderbare Sache für den Endbenutzer ist; sie halten vor Gericht sehr gut.
Hat sie ein iCloud-Konto verwendet, das für Ihr Unternehmen oder für sie persönlich registriert ist? Administratorkonten, für deren Einrichtung eine E-Mail-Adresse erforderlich ist (wie iCloud), sollten eine Unternehmensadresse wie „admin@company.com“ verwenden und keine an einen bestimmten Benutzer gebundene Adresse. Das bedeutet, dass beim Ausscheiden des Benutzers ein Ersatz dasselbe Konto verwenden kann, ohne dass alles neu registriert werden muss. Eine Unternehmens-E-Mail-Adresse sollte auch als Kontakt-E-Mail-Adresse für die Wiederherstellung verwendet werden, damit ein Administrator, der unter nicht optimalen Bedingungen abreist, nicht böswillig den Zugriff auf sich selbst wiederherstellen oder Kennwörter zurücksetzen kann (oder mit iCloud ein System aus der Ferne löschen kann!). Selbst in meinem Anwendungsfall (wo "Admin"-E-Mails dazu dienen, den Zugriff auf gemeinsam genutzte Computer in einem Labor oder die Webverwaltung für eine kleine gemeinnützige Gruppe zu kontrollieren)
Sie sollten wirklich auch in einen Passwort-Manager investieren, etwas anderes als den Schlüsselbund, mit einem Master-Passwort, das dem IT-Manager und der Geschäftsleitung bekannt ist, um sicherzustellen, dass der Zugriff bei Personalwechsel nicht verloren geht. Holen Sie sich die Passwörter aus dem Schlüsselbund und kopieren Sie sie in den Passwortmanager. Verwenden Sie etwas wie 1Password, das das Passwortarchiv im lokalen Netzwerk speichern kann, nicht nur in der Cloud.
Am sichersten wäre es, diesen Benutzer vollständig von iCloud abzumelden ( http://appsliced.co/ask/how-do-i-log-out-of-icloud-on-my-mac )
Stellen Sie sicher, dass Sie „Auf Mac behalten“ auswählen, wenn Sie gefragt werden, ob Sie die Daten aus den verschiedenen Funktionen der iCloud-Konten behalten möchten.
Der Profilmanager benötigt eine Apple-ID, um Profile auf Geräte zu übertragen, also müssen Sie in die Serveranwendung gehen und den Profilmanager mit einer anderen Apple-ID konfigurieren (der Rat von Dr. Nixon wird hier hilfreich sein), indem Sie im ersten auf die Registerkarte Einstellungen gehen Bereich, der erscheint (der nach Ihrem Server benannt ist). Suchen Sie nach dem Kontrollkästchen "Apple-Push-Benachrichtigung" und wählen Sie die Schaltfläche "Apple-ID bearbeiten".
Dadurch sollte der Profilmanager weiterarbeiten können. Anwendungen bleiben gekauft, sodass Sie sie weiterhin verwenden können, sie werden jedoch möglicherweise nicht ohne die Apple-ID des Käufers aktualisiert.
Das Passwort für den Verzeichnisadministrator (für Open Directory, das als Teil des Profilmanagers eingerichtet wurde) könnte ein schwierigeres Problem sein. Wie Allan sagte, ist es am besten, jemanden einzustellen, der erfahren ist, um die Situation zu bereinigen.
kein Hang
Andre Borie