Distinguir entre usuários e contas de serviço no Active Directory

8

Questão

Existe uma maneira "correta" / padrão para distinguir Service Accountsa partir User Accountsde AD?

Mais informações

Em certos cenários, temos sistemas em execução sob credenciais do AD (ou seja, em uma conta de serviço). Essas contas de serviço são criadas exatamente da mesma maneira que as contas de usuário; a única diferença é o nome e a descrição. Algumas coisas foram feitas para fazer uma distinção entre os dois tipos de conta (por exemplo, em qual UO a conta está, se "a senha nunca expira" está ativada, se "conta de serviço" está na descrição), mas não há uma regra que pode ser aplicado a tudo para distinguir claramente entre os dois.

Avançando, procuramos melhorar isso / limpar as coisas da primavera para deixar clara a distinção. Provavelmente, usaremos os campos OU e Descrição para esse fim.

Antes de fazer isso, eu queria verificar; é a maneira pela qual isso deve ser feito; ou seja, algum atributo específico para esse fim (talvez um valor de objectCategory diferente de Person?), ou uma convenção de nomenclatura padrão reconhecida, ou cada empresa descobre sua própria abordagem?

active-directory ldap best-practices JohnLBevan
fonte
3
Como observação, se você estiver usando o servidor 2012, poderá realmente criar contas de serviço gerenciadas. Sempre que possível, é melhor prática para usar estes technet.microsoft.com/en-us/library/hh831451.aspx
Drifter104
4
Você poderia (e provavelmente deveria) usar as Contas de Serviço Gerenciado, que são facilmente identificáveis. - blogs.technet.com/b/askds/archive/2009/09/10/…
joeqwerty
Obrigado a ambos. @ Drifter104 FYI: parece que os MSAs ficaram disponíveis no Windows Server 2008 R2. technet.microsoft.com/en-us/library/dd560633(v=ws.10).aspx
JohnLBevan
2
Os MSAs do @JohnLBevan ficaram disponíveis em 2008 R2, mas foram aprimorados em 2012 quando se tornaram Contas de Serviço Gerenciado por Grupo (gMSAs), o que removeu muitas das limitações dos MSAs mais antigos.
Ryan Ries

Respostas:

11

Não vi nada que pudesse ser interpretado como um padrão "oficial". O que eu normalmente faço é usar um prefixo de nomenclatura padrão, além de mantê-los em uma UO. Você também pode usar o campo Descrição ou o campo Departamento para uma classificação / seleção fácil.

Mr. Smythe
fonte
4

Não existe uma solução "oficial" para esse problema, nem qualquer atributo específico do AD destinado a transmitir "essa é uma conta de serviço". Vários locais usam várias técnicas, que podem incluir OUs, grupos, descrições, prefixos de nomes e assim por diante; mas é realmente apenas uma distinção cosmética: contas de serviço são exatamente os mesmos objetos que contas de usuário.

Massimo
fonte
1

O Microsoft Active Directory usa o atributo objectCategory, pois uma linguagem de programação pode definir uma "classe". Por padrão, os usuários têm "objectCategory = CN = Pessoa, CN = Esquema, CN = Configuração, DC = meu domínio, dc = com". Você pode substituir isso por outro DN, como conta ou posixAccount.

Tim Nowaczyk
fonte