Phân biệt giữa người dùng và tài khoản dịch vụ trong Active Directory

8

Câu hỏi

Có cách "chính xác" / tiêu chuẩn để phân biệt Service Accountsvới User AccountsAD không?

Thêm thông tin

Trong một số trường hợp nhất định, chúng tôi có các hệ thống chạy theo Thông tin xác thực (tức là trong Tài khoản dịch vụ). Các Tài khoản Dịch vụ này được tạo theo cách chính xác giống như các tài khoản người dùng; sự khác biệt duy nhất là tên và mô tả. Một vài điều đã được thực hiện để phân biệt giữa hai loại tài khoản (ví dụ: tài khoản OU đang ở trong đó, liệu "mật khẩu không bao giờ hết hạn" được bật hay không, nếu "tài khoản dịch vụ" có trong mô tả), nhưng không có quy tắc nào có thể được áp dụng cho tất cả mọi thứ để phân biệt rõ ràng giữa hai.

Đi về phía trước chúng tôi đang tìm cách cải thiện điều này / mùa xuân sạch sẽ để làm cho một sự khác biệt rõ ràng. Chúng tôi có thể sử dụng cả trường OU và Mô tả cho mục đích này.

Trước khi làm điều này mặc dù tôi muốn kiểm tra; là cách mà điều này nên được thực hiện; tức là một số thuộc tính đặc biệt cho mục đích này (có thể là một giá trị objectC Category khác với Person?), hoặc một quy ước đặt tên tiêu chuẩn được công nhận, hoặc mỗi công ty có tìm ra cách tiếp cận riêng của họ không?

active-directory ldap best-practices

— JohnLBevan
nguồn

3

Lưu ý phụ, nếu bạn đang sử dụng máy chủ 2012, bạn thực sự có thể tạo tài khoản dịch vụ được quản lý. Nếu có thể nó là thực hành tốt nhất để sử dụng các technet.microsoft.com/en-us/library/hh831451.aspx

— Drifter104

4

Bạn có thể (và có lẽ nên) sử dụng Tài khoản dịch vụ được quản lý, có thể dễ dàng xác định. - blogs.technet.com/b/askds/archive/2009/09/10/...

— joeqwerty

Cảm ơn cả hai. @ Drifter104 FYI: có vẻ như MSA đã có sẵn trong Windows Server 2008 R2. technet.microsoft.com/en-us/l

— Library / dd560633 (v = ws.10) .aspx

2

@JohnLBevan MSAs đã có sẵn vào năm 2008 R2, nhưng chúng đã được cải thiện vào năm 2012 khi chúng trở thành Tài khoản dịch vụ được quản lý nhóm (gMSAs), loại bỏ nhiều hạn chế của các MSA cũ.

— Ryan Ries

11

Tôi chưa thấy bất cứ điều gì có thể được hiểu là một tiêu chuẩn 'chính thức'. Những gì tôi thường làm là sử dụng tiền tố đặt tên tiêu chuẩn cũng như giữ chúng trong OU. Bạn cũng có thể sử dụng trường Mô tả hoặc trường Cục để sắp xếp / chọn dễ dàng.

— Ông Smythe
nguồn

4

Không có giải pháp "chính thức" cho vấn đề này, cũng không có thuộc tính AD cụ thể nào có nghĩa là "đây là tài khoản dịch vụ". Nhiều nơi sử dụng các kỹ thuật khác nhau, có thể bao gồm các OU, nhóm, mô tả, tiền tố tên, v.v. nhưng nó thực sự chỉ là một sự phân biệt mỹ phẩm: tài khoản dịch vụ là đối tượng chính xác giống như tài khoản người dùng.

— Massimo
nguồn

1

Microsoft Active Directory sử dụng thuộc tính objectCarget như ngôn ngữ lập trình có thể định nghĩa một "lớp". Theo mặc định, người dùng có "objectCarget = CN = Person, CN = Schema, CN = Cấu hình, DC = mydomain, dc = com". Bạn có thể ghi đè điều này với một DN khác, như tài khoản hoặc posixAccount.

— Tim Nowachot
nguồn