是否可以创建只能通过域管理员或类似访问权限访问的域帐户?
目标是创建根据任务拥有特定网络访问权限的域用户,但这些用户仅有的适用于自动化作业。因此,它们不需要密码,域管理员可以随时以运行身份下拉到正确的用户来运行作业。没有密码意味着没有人有机会猜到它,也不会把它写下来或丢失。
这可能属于SuperUser ServerFault,但我将首先在这里尝试,因为对我来说这处于模糊边界。我也愿意接受建设性的替代方案。
答案1
在 AD-land 中,没有与无密码root
用户相当的权限,只能通过 sudo 使用。如果用户没有密码,则任何人在任何事物。
对于 AD,服务帐户的公认做法是为其设置某种难以输入的密码,这种密码几乎牢不可破(长且复杂),并将其嵌入所需的服务登录中。此类密码可能不受密码轮换方案的影响;一个 70 个字符的随机 ASCII 密码可能足够复杂,可以绕过轮换要求,但并非所有实体都持相同观点。
对于通过 Run-As 访问的帐户,这些帐户通常需要遵守与常规登录帐户相同的密码复杂性和轮换要求。
答案2
您需要使用细粒度的密码策略,然后更改帐户上的 acl 以仅允许某些计算机帐户或用户访问该帐户。
不要这样做。
这将对 AD 做出非常重大的更改,而微软可能不支持这些更改。您真正想要的是一个无人知晓的密码,因为它是自动生成的,并且会定期自动更改。这些密码被称为托管服务帐户,并可用于运行需要每台计算机特权访问的服务。