Unterscheiden Sie zwischen Benutzern und Dienstkonten in Active Directory

8

Frage

Gibt es eine "richtige" / Standardmethode zur Unterscheidung Service Accountsvon User AccountsAD?

Mehr Info

In bestimmten Szenarien werden Systeme unter AD-Anmeldeinformationen (dh unter einem Dienstkonto) ausgeführt. Diese Dienstkonten werden genauso wie Benutzerkonten erstellt. Der einzige Unterschied ist der Name und die Beschreibung. Es wurden einige Schritte unternommen, um zwischen den beiden Kontotypen zu unterscheiden (z. B. in welcher Organisationseinheit sich das Konto befindet, ob "Kennwort läuft nie ab" aktiviert ist, wenn "Dienstkonto" in der Beschreibung enthalten ist), aber es gibt keine Regel, die kann auf alles angewendet werden, um klar zwischen den beiden zu unterscheiden.

In Zukunft versuchen wir, diese / Frühjahrsputz-Dinge zu verbessern, um eine Unterscheidung klar zu machen. Zu diesem Zweck werden wir wahrscheinlich sowohl die Felder OU als auch Description verwenden.

Vorher wollte ich das überprüfen; ist die Art und Weise, wie dies getan werden sollte; dh ein Attribut speziell für diesen Zweck (möglicherweise ein von Person abweichender Objektkategoriewert?) oder eine anerkannte Standardbenennungskonvention, oder findet jedes Unternehmen seinen eigenen Ansatz heraus?

active-directory ldap best-practices JohnLBevan
quelle
3
Nebenbei bemerkt, wenn Sie Server 2012 verwenden, können Sie tatsächlich verwaltete Dienstkonten erstellen. Wenn möglich, wird
empfohlen,
4
Sie könnten (und sollten) verwaltete Dienstkonten verwenden, die leicht zu identifizieren sind. - blogs.technet.com/b/askds/archive/2009/09/10/…
Joeqwerty
Vielen Dank an beide. @ Drifter104 FYI: Es sieht so aus, als ob MSAs in Windows Server 2008 R2 verfügbar wurden. technet.microsoft.com/en-us/library/dd560633(v=ws.10).aspx
JohnLBevan
2
@ JohnLBevan MSAs wurden 2008 R2 verfügbar, wurden jedoch 2012 erweitert, als sie zu Group Managed Service Accounts (gMSAs) wurden, mit denen viele der Einschränkungen der älteren MSAs beseitigt wurden.
Ryan Ries

Antworten:

11

Ich habe nichts gesehen, was als "offizieller" Standard ausgelegt werden könnte. Normalerweise habe ich ein Standard-Namenspräfix verwendet und diese in einer Organisationseinheit gespeichert. Sie können auch das Feld Beschreibung oder das Feld Abteilung zum einfachen Sortieren / Auswählen verwenden.

Mr. Smythe
quelle
4

Es gibt weder eine "offizielle" Lösung für dieses Problem noch ein bestimmtes AD-Attribut, das "Dies ist ein Dienstkonto" vermitteln soll. An verschiedenen Stellen werden verschiedene Techniken verwendet, darunter Organisationseinheiten, Gruppen, Beschreibungen, Namenspräfixe usw. Aber es ist wirklich nur eine kosmetische Unterscheidung: Dienstkonten sind genau die gleichen Objekte wie Benutzerkonten.

Massimo
quelle
1

Microsoft Active Directory verwendet das Attribut objectCategory, wie eine Programmiersprache eine "Klasse" definieren könnte. Standardmäßig haben Benutzer "objectCategory = CN = Person, CN = Schema, CN = Konfiguration, DC = Mydomain, dc = com". Sie können dies mit einem anderen DN wie account oder posixAccount überschreiben.

Tim Nowaczyk
quelle