La identificación y el seguimiento son importantes pero sorprendentemente difíciles.
Primero, etiquete las cuentas en el directorio para que pueda identificarlas como identificaciones de no usuarios.
Cada cuenta que no sea de usuario debe estar asociada con un propietario de cuenta, alguien responsable de proteger el sistema al que accede. Almacene la identidad del propietario en la entrada del directorio del usuario que no es usuario, de modo que si va a buscarlos más tarde, sabrá con quién debe ser contactado. Recuerde que los propietarios vienen y van con promociones de empleados, facturación, etc., por lo que es posible que necesite un departamento u otra etiqueta de organización para ir con la identificación del empleado. La membresía de grupo puede ayudar aquí. Además, a medida que los empleados se van, sus cuentas de directorio pueden eliminarse, lo que hace que una ID desconocida sea inútil. Un nombre es al menos alguien que otras personas pueden ayudarlo a rastrear.
También puede ser útil saber con qué máquina están asociadas las cuentas. Mantenga esa información en su directorio, también.
Si tiene un sistema de solicitud formal, donde las personas ingresan sus requisitos para solicitar la cuenta, la máquina, etc., almacenaría el número de solicitud en la entrada del directorio. Pero tenga en cuenta que los sistemas de seguimiento de solicitudes pueden cambiarse y que la información asociada con los números de seguimiento emitidos hace 5 años puede que ya no esté disponible. También le recomiendo que mantenga la información del propietario y la máquina en el registro.
Si aún no tiene un proceso de revisión formal para sus cuentas, tenga en cuenta que cuando lo implemente, tendrá una gran cantidad de cuentas de no usuarios en su directorio. Estos datos lo ayudarán a identificar a los revisores (los propietarios del sistema deben revisarlos para determinar si son apropiados en forma periódica). Considere mantener los datos de revisión con el registro; es posible que incluso desee mantener la última información revisada en / por en el directorio para proporcionar a los auditores.
La razón principal para mantener esta información es en caso de un compromiso. Durante la fase de respuesta, debe poder identificar rápidamente a las personas asociadas con la cuenta para poder cambiar las contraseñas, escanear los sistemas y rastrearlos rápidamente, con un mínimo esfuerzo. Tenga en cuenta que es posible que deba realizar esta actividad sin alertar a los propietarios del sistema, al menos mientras la investigación esté activa. También es posible que deba proporcionar información de revisión a los investigadores. Es una triste realidad que el compromiso puede originarse en una fuente interna.
Para responder el resto de su pregunta, debe generar una contraseña larga, utilizando un generador de contraseñas criptográficamente seguro (no aleatorio () de javascript). Si puede asignar estas cuentas y contraseñas sin involucrar a personas, utilizando una herramienta de administración de contraseñas, eso es aún mejor. Hay sistemas comerciales que se vinculan con los servidores ldap para hacer mucho de esto (ya que usted es una tienda de Oracle, debe consultar con su representante de cuenta porque venden dicho sistema).