Các thực tiễn tốt nhất cho tài khoản dịch vụ là gì?

Chúng tôi đang chạy một số dịch vụ trong công ty của chúng tôi bằng tài khoản tên miền được chia sẻ. Thật không may, thông tin đăng nhập cho tài khoản này được phân phối rộng rãi và được sử dụng thường xuyên cho cả mục đích dịch vụ và phi dịch vụ. Điều này đã dẫn đến một tình huống có thể các dịch vụ sẽ tạm thời ngừng hoạt động do tài khoản chia sẻ này bị khóa.

Rõ ràng, tình trạng này cần phải thay đổi. Kế hoạch là thay đổi các dịch vụ để chạy trong một tài khoản mới, nhưng tôi không nghĩ rằng điều này đi đủ xa, vì tài khoản đó phải tuân theo chính sách khóa tương tự.

Câu hỏi của tôi là: Chúng ta có nên thiết lập các tài khoản dịch vụ khác với các tài khoản miền khác không và nếu có, chúng ta sẽ quản lý các tài khoản đó như thế nào. Xin lưu ý rằng chúng tôi đang chạy một tên miền 2003 và việc nâng cấp bộ điều khiển miền không phải là một giải pháp khả thi trong thời gian tới.

Một vài suy nghĩ:

• Một tài khoản cho mỗi dịch vụ, hoặc có lẽ mỗi loại dịch vụ tùy thuộc vào môi trường của bạn.

• Tài khoản nên là tài khoản miền.

• Tài khoản nên có mật khẩu mạnh không hết hạn *. Lý tưởng nhất là tạo một mật khẩu ngẫu nhiên được ghi lại ở đâu đó (KeePass tốt cho việc này) để khiến mọi người sử dụng nó để đăng nhập. Nói về mà...

• ... (Nói chung) tài khoản phải là thành viên của một nhóm không có quyền đăng nhập tương tác. Điều này có thể được kiểm soát thông qua Chính sách nhóm.

• Hãy ghi nhớ nguyên tắc đặc quyền tối thiểu. Tài khoản nên có các quyền họ cần để thực hiện công việc của họ và không còn nữa . Để đảm bảo điều này, như gravyface chỉ ra, hãy sử dụng các tài khoản tích hợp nếu có thể. Local Servicekhi không cần truy cập mạng. Network Servicekhi truy cập mạng vì tài khoản máy sẽ đủ an toàn và tránh sử dụng Local Systemtài khoản nếu có thể.

* Trừ khi chính sách bảo mật của công ty bạn không tương thích với điều này, nhưng bằng âm thanh của những thứ có lẽ là :-)