Различать пользователей и учетные записи служб в Active Directory

8

Вопрос

Есть ли «правильный» / стандартный способ отличить Service Accountsот User AccountsAD?

Больше информации

В некоторых случаях у нас есть системы, работающие с учетными данными AD (т.е. с учетной записью службы). Эти сервисные учетные записи создаются точно так же, как учетные записи пользователей; единственная разница заключается в названии и описании. Было сделано несколько вещей, чтобы сделать различие между двумя типами учетных записей (например, в каком подразделении находится учетная запись, включен ли «никогда не истекает пароль», если в описании есть «учетная запись службы»), но нет единого правила, которое может применяться ко всему, чтобы четко различать два.

Продвигаясь вперед, мы стремимся улучшить эту / весеннюю чистоту, чтобы сделать четкое различие. Для этой цели мы, вероятно, будем использовать поля OU и Description.

Прежде чем сделать это, хотя я хотел проверить; способ, которым это должно быть сделано; то есть какой-то атрибут специально для этой цели (может быть, значение objectCategory отличается от Person?), или общепризнанное стандартное соглашение об именах, или каждая компания разрабатывает свой собственный подход?

active-directory ldap best-practices JohnLBevan
источник
3
В качестве примечания: если вы используете сервер 2012, вы можете создать управляемые учетные записи служб. По возможности лучше всего использовать эти technet.microsoft.com/en-us/library/hh831451.aspx
Drifter104
4
Вы можете (и, вероятно, должны) использовать управляемые учетные записи служб, которые легко идентифицировать. - blogs.technet.com/b/askds/archive/2009/09/10/…
joeqwerty
Спасибо обоим. @ Drifter104 FYI: похоже, что MSA стали доступны в Windows Server 2008 R2. technet.microsoft.com/en-us/library/dd560633(v=ws.10).aspx
JohnLBevan
2
@JohnLBevan MSA стали доступны в 2008 R2, но они были улучшены в 2012 году, когда стали учетными записями управляемых групп (gMSA), которые сняли многие ограничения старых MSA.
Райан Райс
@RyanRies MS использует applicationProcess для тех?
Брайам

Ответы:

11

Я не видел ничего, что могло бы быть истолковано как «официальный» стандарт. Обычно я использовал стандартный префикс имен, а также держал их в подразделении. Вы также можете использовать поле «Описание» или «Отдел» для простой сортировки / выбора.

Мистер Смайт
источник
4

Не существует «официального» решения этой проблемы или какого-либо специального атрибута AD, предназначенного для передачи «это учетная запись службы». В разных местах используются различные методы, которые могут включать в себя организационные единицы, группы, описания, префиксы имен и т. Д .; но на самом деле это только косметическое различие: учетные записи служб - это те же объекты, что и учетные записи пользователей.

Massimo
источник
1

Microsoft Active Directory использует атрибут objectCategory, так как язык программирования может определять «класс». По умолчанию пользователи имеют «objectCategory = CN = Person, CN = Schema, CN = Configuration, DC = mydomain, dc = com». Вы можете переопределить это с другим DN, таким как account или posixAccount.

Тим Новачик
источник