Wie verwalten Sie die Anmeldeinformationen des Dienstkontos (Kennwörter)? [geschlossen]

Wie können Sie in einer Windows-Umgebung die folgenden Probleme mit Dienstkonten beheben?

1. Regelmäßige Kennwortänderungen - Wie können Sie mit einzelnen Dienstkonten, die auf mehreren Computern verwendet werden, Kennwörter regelmäßig ohne nennenswerte Ausfallzeiten ändern? Neigen Sie dazu, sie niemals zu ändern?
2. Passwörter im Auge behalten - notwendigerweise müssen mehrere Personen diese kennen. Wie zeichnen Sie die Passwörter auf, während Sie sie einigermaßen geheim halten?
3. Ab wann verwenden Sie dasselbe Konto auf mehreren Computern / Diensten? Wie können Sie nachverfolgen, welches Konto wo verwendet wird? Irgendwelche Tools, die dabei helfen?
4. Hat jemand gute Ressourcen für angemessene Mindestberechtigungseinstellungen für allgemeine Dienstkontoanforderungen für Anwendungen wie SQL Server, Sharepoint usw. gefunden?

Viele unserer Kunden verwenden Secret Server, um ihre Dienstkonten zu verwalten.

Es kann automatisch erkennen, wo Ihre Dienstkonten verwendet werden (durchsucht Ihr Netzwerk nach Verwendungszwecken), und diese Windows-Dienste können dann als "Abhängigkeit" für die Anmeldeinformationen hinzugefügt werden. Es kann ein Ablaufplan festgelegt werden (z. B. alle 30 Tage). Anschließend wird automatisch ein neues zufälliges Kennwort für das AD-Dienstkonto generiert und alle verwendeten Orte geändert (sogar das Stoppen und Neustarten der Windows-Dienste). Secret Server unterstützt auch Benutzer des IIS-Anwendungspools und geplante Windows-Aufgaben als "Abhängigkeiten".

Holen Sie sich hier eine kostenlose 30-Tage-Testversion: http://www.thycotic.com

Rundum auf Server 2008 R2 wechseln ^^ (ok, vielleicht nicht - aber ich dachte, ich sollte die Funktionen des verwalteten Dienstkontos und des virtuellen Kontos erwähnen, die versprechen, dieses Durcheinander zu beheben)

Joel,

Wir verwenden eine Drittanbieteranwendung, um die Rotation von Passwörtern für Dienstkonten zu verwalten. Die App verfolgt die Passwörter, erstellt neue und bietet einen Tresor, damit Sie bei Bedarf auf die Passwörter zugreifen können.

Wir versuchen, Dienstkonten nach Möglichkeit wiederzuverwenden, und im Rahmen der Kontoerstellung haben wir ein Formular, das die Benutzer ausfüllen müssen. Wenn das Formular gesendet wird, wird es gespeichert und das erstellte Konto wird mit dem Formular gespeichert. Auf diese Weise können wir nachforschen, wenn wir wissen müssen, wer das Konto verwendet oder warum es erstellt wurde. Wir stellen außerdem sicher, dass das Managerfeld in AD korrekt ausgefüllt ist und den Managern die Aufgabe zugewiesen wird, zu wissen, für welche Dienstkonten sie verantwortlich sind.

MSDN verfügt über eine Fülle von Informationen zu den Mindestberechtigungen, die für allgemeine Dienstkonteneinstellungen erforderlich sind. Wie immer hängt die Konfiguration dieser Einstellungen von den Anforderungen Ihrer Umgebung ab.

Ich würde passgen.exe empfehlen. Info hier herunterladen Gehen Sie einfach das Begleitdokument durch. Es bietet ein genaues Szenario zum Ändern des Kennworts auf mehreren Computern und zeigt, wie einfach es ist, diese eindeutig und komplex zu halten.