是否有可能创build只能通过域pipe理员或类似访问访问的域帐户?
目标是创build基于任务的具有特定networking访问权的域用户,但这些用户只能用于自动化作业。 因此,他们不需要密码,域pipe理员可以随时运行,以便下载到正确的用户来运行作业。 没有密码意味着没有人猜测它或者被写下或丢失的机会。
这可能属于SuperUser ServerFault,但是我将首先在这里尝试,因为它在我的模糊边界上。 我也开放给build设性的select。
没有等同于只能在AD-land中通过sudo使用的无密码root用户。 如果用户没有密码, 任何人都将无法使用密码。
对于AD来说,公认的服务帐户的做法是给它一种难以破解的(长而复杂的)难以input的密码,并将其embedded到所需的服务login中。 这样的密码可以免于密码轮换scheme; 随机ASCII码的70个字符的密码可能足够复杂,可以绕过旋转要求,但并不是所有的实体都有相同的意见。
对于通过“运行方式”访问的帐户,这些帐户通常受到与常规login帐户相同的密码复杂性和轮换需求。
您需要使用细粒度的密码策略,然后更改帐户上的acl以仅允许特定的计算机帐户或用户访问该帐户。
不要这样做。
这将对AD做出真正重大的改变,微软可能不支持。 你真正想要的是一个没有人知道的密码,因为它会自动生成并定期自动切换。 这些被称为托pipe服务帐户 ,可用于运行需要在每台计算机上进行专用访问的服务。