问题
是否存在“正确”/标准的方法来区分Service AccountsAD User Accounts?
更多信息
在某些情况下,我们的系统在 AD 凭据下运行(即在服务帐户下)。这些服务帐户的创建方式与用户帐户完全相同;唯一的区别在于名称和描述。已经做了一些事情来区分这两种帐户类型(例如,帐户位于哪个 OU、是否启用“密码永不过期”、描述中是否有“服务帐户”),但没有一条规则可以应用于所有内容以清楚地区分两者。
展望未来,我们希望改进这一点/彻底清除一切,以明确区别。我们可能会为此使用 OU 和描述字段。
不过,在执行此操作之前,我想检查一下;是否有一种应该这样做的方法;即专门用于此目的的某些属性(也许是与 Person 不同的 objectCategory 值?),或公认的标准命名约定,或者每个公司是否都想出了自己的方法?
答案1
我还没有看到任何可以解释为“官方”标准的东西。我通常的做法是使用标准命名前缀并将它们保存在 OU 中。您也可以使用描述字段或部门字段来轻松排序/选择。
答案2
这个问题没有“官方”的解决方案,也没有任何特定的 AD 属性来传达“这是一个服务帐户”。不同的地方使用不同的技术,可能包括 OU、组、描述、名称前缀等;但这实际上只是一个表面的区别:服务帐户与用户帐户是完全相同的对象。
答案3
Microsoft Active Directory 使用 objectCategory 属性,就像编程语言定义“类”一样。默认情况下,用户具有“objectCategory=CN=Person,CN=Schema,CN=Configuration,DC=mydomain,dc=com”。您可以使用其他 DN(如 account 或 posixAccount)覆盖此属性。