Как вы управляете учетными данными (паролями) учетной записи службы? [закрыто]

9

В среде Windows, как вы решаете следующие проблемы с учетными записями служб?

  1. Обычные изменения паролей - при использовании одной учетной записи на нескольких компьютерах, как вы регулярно меняете пароли без значительных периодов простоя? Вы склонны просто никогда не менять их?
  2. Отслеживание паролей - по необходимости несколько человек должны знать их, как вы записываете пароли, сохраняя при этом их разумную тайну?
  3. В какой момент вы используете одну и ту же учетную запись на нескольких машинах / сервисах? Как вы отслеживаете, какая учетная запись используется где? Какие-нибудь инструменты, чтобы помочь с этим?
  4. Кто-нибудь нашел хорошие ресурсы для соответствующих минимальных настроек разрешений для общих требований учетной записи службы для таких приложений, как SQL Server, Sharepoint и т. Д.
windows security active-directory password Джоэл Мэнсфорд
источник
Я думаю, пункт 4 немного не по теме. Мое основное беспокойство вызывает пункт 1. Я не вижу, как можно сменить пароли без отключения.
Джоэл Мэнсфорд
Даже если пункт 4 не по теме, я все равно хотел бы следовать этой теме. Я нашел этот вопрос, когда искал, как предотвратить интерактивные входы в систему с учетной записью службы. Я думал, что была настройка GPO, но я еще не нашел это.
Натан Хартли

Ответы:

3

Многие из наших клиентов используют Secret Server для управления своими учетными записями.

Он может автоматически определять, где используются ваши учетные записи служб (будет проверять вашу сеть на предмет использования), а затем эти службы Windows могут быть добавлены в качестве «зависимости» для учетных данных. График истечения может быть установлен (скажем, каждые 30 дней), и тогда он автоматически сгенерирует новый случайный пароль для учетной записи службы AD и изменит все используемые им места (даже остановив и перезапустив службы Windows). Secret Server также поддерживает пользователей пула приложений IIS и запланированные задачи Windows как «зависимости».

Получить бесплатную 30-дневную пробную версию здесь: http://www.thycotic.com


источник
4

Переключение на Server 2008 R2 повсюду ^^ (хорошо, возможно, нет - но подумал, что я должен упомянуть функции управляемой учетной записи службы и функции виртуальной учетной записи, которые обещают решить эту проблему)

Оскар Дювеборн
источник
Спасибо за это, я не заметил этого в списке возможностей R2. Я большой поклонник Server 2008 (R1). Я был немного разочарован стабильностью и производительностью бета-версии 2008 R2 по сравнению с Win7 RC - будем надеяться, что это хорошо, когда они выпустят его
Джоэл Мансфорд,
2

Джоэл,

Мы используем стороннее приложение для управления сменой паролей учетных записей служб. Приложение отслеживает пароли, создает новые и предлагает хранилище, чтобы вы могли получить доступ к паролям, если и когда это необходимо.

Мы стараемся по возможности повторно использовать учетные записи служб, и в рамках процесса создания учетной записи у нас есть форма, которую люди должны заполнить. при отправке формы она сохраняется, а созданная учетная запись сохраняется вместе с формой. Таким образом, если нам нужно знать, кто использует учетную запись или почему она была создана, мы можем провести исследование. мы также следим за тем, чтобы поле менеджера в AD было заполнено правильно, а менеджерам было поручено узнать, за какие учетные записи службы они отвечают.

MSDN будет располагать обширной информацией о минимальных разрешениях, необходимых для общих настроек учетной записи службы. Как всегда, как вы настраиваете эти параметры, зависит от потребностей вашей среды.

SQLRockstar
источник
Есть идеи, какой сторонний инструмент вы используете для этого?
Джоэл Мэнсфорд
конечно, cyber-ark.com
SQLRockstar
0

Я бы порекомендовал passgen.exe Информация о загрузке здесь Просто ознакомьтесь с сопроводительным документом. Он дает точный сценарий изменения пароля на нескольких компьютерах и позволяет легко сохранять их уникальными и сложными.

Kapes
источник