我们使用共享域帐户在我们公司运行多项服务.遗憾的是,此帐户的凭据广泛分发,并且经常用于服务和非服务目的.这导致了由于此共享帐户被锁定而导致服务暂时中断的情况.
显然,这种情况需要改变.该计划是将服务更改为在新帐户下运行,但我认为这远远不够,因为该帐户受到相同的锁定策略的约束.
我的问题是:我们是否应该以不同于其他域帐户的方式设置服务帐户,如果我们这样做,我们如何管理这些帐户.请记住,我们正在运行2003域,并且在短期内升级域控制器不是一个可行的解决方案.
一些想法:
>每个服务一个帐户,或者每个服务类型,具体取决于您的环境.
>帐户应为域帐户.
>帐户应具有不会过期的强密码*.理想情况下,生成一个随机密码,记录在某处(KeePass对此有利),使人们很难用它来登录.说到哪……
> …(通常)帐户应该是无权以交互方式登录的组的成员.这可以通过组策略进行控制.
>请记住最小特权原则.帐户应该拥有完成工作所需的权利,而不是更多.正如gravyface指出的那样,保持这一点,尽可能使用内置帐户.不需要网络访问时的本地服务.访问网络时的网络服务,因为计算机帐户足够安全,并尽可能避免使用本地系统帐户.
*除非你的公司安全政策与此不兼容,否则可能是事情的声音:-)
原文链接:https://www.f2er.com/windows/369727.html