Distinguere tra utenti e account di servizio in Active Directory

8

Domanda

C'è un / modo standard "corretto" per distinguerlo Service Accountsda User Accountsin AD?

Ulteriori informazioni

In alcuni scenari abbiamo sistemi in esecuzione con credenziali AD (ovvero con un account di servizio). Questi account di servizio vengono creati esattamente allo stesso modo degli account utente; l'unica differenza è il nome e la descrizione. Sono state fatte alcune cose per fare una distinzione tra i due tipi di account (ad esempio in quale unità organizzativa è presente l'account, se "password non scade mai" è abilitata, se "account di servizio" è nella descrizione), ma non esiste una regola che può essere applicato a tutto per distinguere chiaramente tra i due.

Andando avanti stiamo cercando di migliorare queste cose / pulizie di primavera per fare una distinzione chiara. A questo scopo utilizzeremo probabilmente entrambi i campi OU e Description.

Prima di farlo, però, volevo controllare; è il modo in cui ciò dovrebbe essere fatto; vale a dire qualche attributo specifico per questo scopo (forse un valore di ObjectCategory diverso da Person?) o una convenzione di denominazione standard riconosciuta, o ogni azienda capisce il proprio approccio?

active-directory  ldap  best-practices 
JohnLBevan
fonte
3
Come nota a margine, se stai usando il server 2012 puoi effettivamente creare account di servizi gestiti. Ove possibile, è consigliabile utilizzare questi technet.microsoft.com/en-us/library/hh831451.aspx
Drifter104
4
È possibile (e probabilmente dovrebbe) utilizzare gli account dei servizi gestiti, che sono facilmente identificabili. - blogs.technet.com/b/askds/archive/2009/09/10/…
joeqwerty
Grazie ad entrambi. @ Drifter104 FYI: sembra che gli MSA siano diventati disponibili in Windows Server 2008 R2. technet.microsoft.com/en-us/library/dd560633(v=ws.10).aspx
JohnLBevan
2
@JohnLBevan Gli MSA sono diventati disponibili nel 2008 R2, ma sono stati migliorati nel 2012 quando sono diventati Account di servizio gestito di gruppo (gMSA), che hanno rimosso molte delle limitazioni degli MSA più vecchi.
Ryan Ries,

Risposte:

11

Non ho visto nulla che potesse essere interpretato come uno standard "ufficiale". Quello che ho fatto in genere è usare un prefisso di denominazione standard e tenerli in un'unità organizzativa. È possibile utilizzare anche il campo Descrizione o il campo Reparto per ordinare / selezionare facilmente.

Signor Smythe
fonte
4

Non esiste una soluzione "ufficiale" a questo problema, né alcun attributo AD specifico destinato a trasmettere "questo è un account di servizio". Luoghi diversi utilizza varie tecniche, che possono includere unità organizzative, gruppi, descrizioni, prefissi dei nomi e così via; ma in realtà è solo una distinzione estetica: gli account di servizio sono esattamente gli stessi oggetti degli account utente.

Massimo
fonte
1

Microsoft Active Directory utilizza l'attributo objectCategory come un linguaggio di programmazione potrebbe definire una "classe". Per impostazione predefinita, gli utenti hanno "objectCategory = CN = Person, CN = Schema, CN = Configuration, DC = mydomain, dc = com". Puoi sovrascriverlo con un altro DN, come account o posixAccount.

Tim Nowaczyk
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.