我们正在使用共享域帐户在我们公司运行多个服务。 不幸的是,这个帐户的凭证是广泛分布的,经常用于服务和非服务目的。 这导致了这种情况,由于这个共享帐户被locking,服务可能会暂时中断。
显然,这种情况需要改变。 计划是将服务更改为在新帐户下运行,但是我认为这不够好,因为该帐户受制于相同的locking策略。
我的问题是:我们是否应该build立与其他域帐户不同的服务账户?如果我们这样做,我们如何pipe理这些账户。 请记住,我们正在运行一个2003域,升级域控制器在短期内不是一个可行的解决scheme。
一些想法:
每个服务一个帐户,或者根据您的环境可能每个服务types。
帐户应该是域帐户。
帐户应该有一个强大的密码,不会过期*。 理想情况下,生成一个随机密码(KeePass对此很有用),让人们使用它来login是一件痛苦的事情。 说起来…
…(一般来说)帐户应该是无权交互login的组的成员。 这可以通过组策略来控制。
请记住最小特权的原则。 账户应该有他们需要的权利来做他们的工作, 而不是更多 。 正如gravyface所指出的那样,在可能的情况下使用内置帐户。 当不需要networking访问时的Local Service 。 Network Service作为机器帐户访问networking时将会足够安全,并尽可能避免使用Local System帐户。
*除非您的公司安全政策与此不兼容,否则可能是因为事情的原因:-)