Як ви керуєте обліковими записами (паролями) облікового запису служби? [зачинено]

9

Як в середовищі Windows вирішувати такі проблеми з обліковими записами послуг?

Регулярні зміни пароля - за допомогою єдиних облікових записів обслуговування, що використовуються на декількох машинах, як ви регулярно змінюєте паролі без значних періодів відключення? Ви схильні просто ніколи їх не змінювати?
Відстеження паролів - за необхідності кілька людей повинні знати їх, як ви записуєте паролі, зберігаючи їх в достатній таємниці?
До якого моменту ви використовуєте один і той же обліковий запис на кількох машинах / послугах? Як ви відстежуєте, який обліковий запис використовується де? Будь-які інструменти, які допоможуть у цьому?
Хтось знайшов якісь хороші ресурси для відповідних налаштувань мінімального дозволу для загальних вимог облікового запису служби для таких додатків, як SQL Server, Sharepoint тощо.

Я здогадуюсь, точка 4 - це трохи поза темою. Моя головна проблема - пункт 1. Я не бачу, як ви можете змінити паролі без відключення.

— Джоель Менсфорд

Навіть якщо точка 4 поза темою, я все одно хотів би слідувати цій темі. Я знайшов це питання, шукаючи, як запобігти інтерактивним входам із обліковим записом служби. Я подумав, що там встановлено групову групу, але я її ще не знайшов.

— Натан Хартлі

3

Багато наших клієнтів використовують Secret Server для управління своїми обліковими записами послуг.

Він може автоматично виявити, де використовуються ваші облікові записи служби (скануватиме вашу мережу на предмет звичок), а потім ці служби Windows можна додати як "залежність" для облікових даних. Можна встановити графік придатності (скажімо, кожні 30 днів), і тоді він автоматично генерує новий випадковий пароль для облікового запису послуги AD та змінить усі місця, які він використовував (навіть зупинка та перезапуск служб Windows). Secret Server також підтримує користувачів пакету додатків IIS та заплановані завдання Windows як "залежності".

Отримайте безкоштовну 30-денну пробну версію тут: http://www.thycotic.com

4

Перехід на Server 2008 R2 навколо навколо ^^ (добре, можливо, ні - але я подумав, що я повинен згадати про функції керованого сервісу та віртуальний обліковий запис, що обіцяє вирішити цю проблему)

— Оскар Дювеборн
джерело

Дякую за це, я не помітив цього в списку функцій R2. Я великий шанувальник сервера 2008 (R1). Я трохи розчарувався в стабільності та продуктивності бета-версії 2008 року R2 порівняно з програмою Win7 RC - сподіваємось, що це буде добре, коли вони випускають її

— Joel Mansford

2

Джоель,

Ми використовуємо сторонні програми для управління поворотом паролів для облікових записів послуг. Додаток відстежує паролі, створює нові та пропонує сховище, щоб ви могли отримати доступ до паролів, якщо і коли це необхідно.

Ми намагаємось повторно використовувати облікові записи служби, коли це можливо, і як частина процесу створення облікових записів у нас є форма, яку потрібно заповнити. після подання форми вона зберігається, а створений обліковий запис зберігається разом із формою. таким чином, якщо нам потрібно знати, хто використовує обліковий запис або чому він був створений, ми можемо дослідити. ми також переконуємося, що поле менеджера в AD заповнено правильно і менеджерам покладено завдання знати, за які облікові записи послуг вони відповідають.

MSDN матиме багату інформацію щодо мінімальних дозволів, необхідних для загальних налаштувань облікового запису служби. Як завжди, те, як налаштувати ці налаштування, залежить від потреб вашого оточення.

— SQLRockstar
джерело

Будь-яка ідея, який сторонній інструмент ви використовуєте для цього?

— Джоель Менсфорд

звичайно, cyber-ark.com

— SQLRockstar

0

Я рекомендую passgen.exe Інформація про завантаження Тут просто перегляньте супровідний документ. Він дає точний сценарій зміни пароля на декількох комп'ютерах та як легко зберігати їх унікальними та складними.

— KAPes
джерело