Distinguer les utilisateurs des comptes de service dans Active Directory

8

Question

Y at - il un « correct » / moyen standard pour distinguer Service Accountsde User Accountsdans AD?

Plus d'informations

Dans certains scénarios, nous avons des systèmes fonctionnant sous les informations d'identification AD (c'est-à-dire sous un compte de service). Ces comptes de service sont créés exactement de la même manière que les comptes d'utilisateurs; la seule différence étant le nom et la description. Quelques choses ont été faites pour faire une distinction entre les deux types de comptes (par exemple, dans quelle unité d'organisation le compte se trouve, si "le mot de passe n'expire jamais" est activé, si "compte de service" est dans la description), mais il n'y a pas de règle unique qui peut être appliqué à tout pour distinguer clairement les deux.

En allant de l'avant, nous cherchons à améliorer les choses propres au printemps pour faire une distinction claire. Nous utiliserons probablement les champs OU et Description à cette fin.

Avant de faire cela, je voulais vérifier; est la manière dont cela devrait être fait; c'est-à-dire un attribut spécifique à cet effet (peut-être une valeur objectCategory différente de Person?), ou une convention de dénomination standard reconnue, ou chaque entreprise définit-elle sa propre approche?

active-directory ldap best-practices JohnLBevan
la source
3
En guise de remarque, si vous utilisez le serveur 2012, vous pouvez réellement créer des comptes de services gérés. Dans la mesure du possible, il est recommandé
Drifter104
4
Vous pourriez (et devriez probablement) utiliser des comptes de services gérés, qui sont facilement identifiables. - blogs.technet.com/b/askds/archive/2009/09/10/…
joeqwerty
Merci à vous deux. @ Drifter104 FYI: il semble que les MSA soient devenus disponibles dans Windows Server 2008 R2. technet.microsoft.com/en-us/library/dd560633(v=ws.10).aspx
JohnLBevan
2
@JohnLBevan Les MSA sont devenus disponibles en 2008 R2, mais ils ont été améliorés en 2012 lorsqu'ils sont devenus des comptes de services gérés de groupe (gMSA), ce qui a supprimé de nombreuses limitations des anciens MSA.
Ryan Ries

Réponses:

11

Je n'ai rien vu qui puisse être interprété comme une norme «officielle». Ce que j'ai généralement fait, c'est utiliser un préfixe de dénomination standard et les conserver dans une unité d'organisation. Vous pouvez également utiliser le champ Description ou le champ Département pour un tri / sélection facile.

M. Smythe
la source
4

Il n'y a pas de solution "officielle" à ce problème, ni aucun attribut AD spécifique destiné à transmettre "c'est un compte de service". Divers endroits utilisent diverses techniques, qui peuvent inclure des unités d'organisation, des groupes, des descriptions, des préfixes de noms, etc. mais ce n'est vraiment qu'une distinction esthétique: les comptes de service sont exactement les mêmes objets que les comptes d'utilisateur.

Massimo
la source
1

Microsoft Active Directory utilise l'attribut objectCategory comme un langage de programmation pourrait définir une "classe". Par défaut, les utilisateurs ont "objectCategory = CN = Person, CN = Schema, CN = Configuration, DC = mydomain, dc = com". Vous pouvez remplacer cela par un autre DN, comme account ou posixAccount.

Tim Nowaczyk
la source