我们公司使用共享域帐户运行多项服务。遗憾的是,此帐户的凭据分布广泛,经常用于服务和非服务目的。这导致服务可能会因此共享帐户被锁定而暂时中断。
显然,这种情况需要改变。计划是将服务改为在新帐户下运行,但我认为这还不够,因为该帐户仍受相同锁定策略的约束。
我的问题是:我们是否应该以不同于其他域帐户的方式设置服务帐户?如果这样做,我们如何管理这些帐户?请记住,我们正在运行 2003 域,升级域控制器在短期内不是一个可行的解决方案。
答案1
一些想法:
每个服务一个帐户,或者每个服务类型一个帐户,具体取决于您的环境。
帐户应为域帐户。
账户应该有一个不会过期的强密码*。最好生成一个随机密码,并记录在某处(KeePass 就很适合),这样人们使用它登录就很麻烦了。说到这个……
...(一般来说)该帐户应是无权以交互方式登录的组的成员。这可以通过组策略进行控制。
记住最小特权原则。账户应该拥有完成工作所需的权利仅此而已。正如 gravyface 指出的那样,尽可能使用内置帐户。当
Local Service不需要网络访问时。Network Service当访问网络时,机器帐户将足够安全,并Local System尽可能避免使用该帐户。
*除非您的公司安全政策与此不兼容,但听起来可能兼容:-)