在 Windows 环境中,如何解决服务帐户的以下问题?
- 定期更改密码 - 在多台机器上使用单个服务帐户时,如何定期更改密码而不会出现长时间停机?您是否倾向于从不更改密码?
- 跟踪密码 - 必然有多个人需要知道这些密码,如何记录密码同时又能保持其合理的秘密性?
- 您在多台机器/服务中使用同一个帐户的情况如何?您如何跟踪哪个帐户在哪里使用?有什么工具可以帮助解决这个问题吗?
- 是否有人找到适合 SQL Server、Sharepoint 等应用程序的常见服务帐户要求的最低权限设置的良好资源?
答案1
我们的许多客户使用 Secret Server 来管理他们的服务帐户。
它可以自动发现您的服务帐户的使用位置(将扫描您的网络以查找使用情况),然后可以将这些 Windows 服务添加为凭据的“依赖项”。可以设置到期时间表(例如每 30 天),然后它将自动为 AD 服务帐户生成一个新的随机密码并更改其使用的所有位置(甚至停止和重新启动 Windows 服务)。Secret Server 还支持 IIS 应用程序池用户和 Windows 计划任务作为“依赖项”。
在此获取 30 天免费试用:http://www.thycotic.com
答案2
全面切换到 Server 2008 R2 ^^(好吧,也许不是 - 但我认为我应该提一下托管服务帐户和虚拟帐户它的功能有望解决这一困境)
答案3
乔尔,
我们使用第三方应用程序来管理服务帐户的密码轮换。该应用程序会跟踪密码、创建新密码并提供密码库,以便您在必要时访问密码。
我们尝试尽可能重复使用服务帐户,并且作为帐户创建过程的一部分,我们有一个人们需要填写的表格。提交表单后,它会被保存,并且创建的帐户也会与表单一起保存。这样,如果我们需要知道谁使用了该帐户,或者为什么创建它,我们可以进行研究。我们还确保 AD 中的经理字段填写正确,并分配经理了解他们负责哪些服务帐户的任务。
MSDN 上有大量关于常见服务帐户设置所需的最低权限的信息。与往常一样,如何配置这些设置取决于您的环境需求。
答案4
我会推荐 passgen.exe点击此处下载信息 只需阅读其附带的文档即可。它给出了在多台计算机上更改密码的精确场景,以及如何轻松地保持密码的唯一性和复杂性。