Які найкращі практики для облікових записів послуг?

У нашій компанії ми працюємо за допомогою декількох облікових записів спільного домену. На жаль, облікові дані цього облікового запису широко розповсюджуються і часто використовуються як для службових, так і несервісних цілей. Це призвело до ситуації, коли можливо тимчасово закрити послуги через заблокованість цього спільного облікового запису.

Очевидно, цю ситуацію потрібно змінити. План полягає в тому, щоб змінити послуги, які працюватимуть під новим обліковим записом, але я не думаю, що це надто далеко, оскільки цей обліковий запис підлягає тій же політиці блокування.

Мої запитання такі: чи слід налаштовувати облікові записи послуг інакше, ніж інші доменні облікові записи, і як це зробити, як ними керувати. Будь ласка, майте на увазі, що у нас працює домен 2003 року, і оновлення контролера домену не є прийнятним рішенням в найближчій перспективі.

Кілька думок:

• Один обліковий запис на послугу або, можливо, на тип послуги залежно від вашого оточення.

• Облікові записи повинні бути доменними.

• Облікові записи повинні мати надійний пароль, термін дії якого не закінчується *. В ідеалі генеруйте випадковий пароль, який десь записаний (KeePass хороший для цього), щоб людям було боляче використовувати його для входу в систему. Якщо говорити про ...

• ... (загалом) обліковий запис повинен бути членом групи, яка не має прав на інтерактивний вхід. Це можна контролювати за допомогою групової політики.

• Майте на увазі принцип найменшої пільги. Рахунки повинні мати права, необхідні для виконання своєї роботи, і не більше того . Вказуючи на це, як вказує gravyface, використовуйте вбудовані рахунки, де це можливо. Local Serviceколи доступ до мережі не потрібен. Network Serviceпід час доступу до мережі, оскільки обліковий запис машини буде достатньо захищеним, і уникайте використання цього Local Systemоблікового запису, де це можливо.

* Якщо тільки політика безпеки вашої компанії не сумісна з цим, але, мабуть, за звучанням речей :-)