Loc*_*eCJ 9 windows-server-2003 active-directory best-practices
我们使用共享域帐户在公司中运行多项服务。不幸的是,此帐户的凭据分布广泛,并且经常用于服务和非服务目的。这导致了一种情况,由于此共享帐户被锁定,服务可能会暂时关闭。
显然,这种情况需要改变。计划是将服务更改为在新帐户下运行,但我认为这还不够,因为该帐户受相同的锁定策略约束。
我的问题是:我们是否应该以不同于其他域帐户的方式设置服务帐户,如果我们这样做了,我们将如何管理这些帐户。请记住,我们运行的是 2003 域,升级域控制器在短期内不是可行的解决方案。
一些想法:
每个服务一个帐户,或者可能是每个服务类型,具体取决于您的环境。
帐户应该是域帐户。
帐户应该有一个不会过期的强密码*。理想情况下,生成一个记录在某处的随机密码(KeePass 对此很有用),使人们使用它进行登录变得很痛苦。说到这...
...(一般情况下)该帐户应该是没有交互登录权限的组的成员。这可以通过组策略进行控制。
请记住最小特权原则。帐户应该拥有完成工作所需的权利,仅此而已。与此一致,正如 gravyface 指出的那样,尽可能使用内置帐户。Local Service当不需要网络访问时。Network Service访问网络时,机器帐户将足够安全,并Local System尽可能避免使用该帐户。
*除非您公司的安全政策与此不兼容,但从听起来可能是:-)