Distinguir entre usuarios y cuentas de servicio en Active Directory

8

Pregunta

¿Hay una manera "correcta" / norma para distinguir Service Accountsa partir User Accountsde AD?

Más información

En ciertos escenarios, tenemos sistemas que se ejecutan con credenciales de AD (es decir, con una cuenta de servicio). Estas cuentas de servicio se crean exactamente de la misma manera que las cuentas de usuario; La única diferencia es el nombre y la descripción. Se han hecho algunas cosas para hacer una distinción entre los dos tipos de cuenta (por ejemplo, en qué unidad organizativa se encuentra la cuenta, si "contraseña nunca caduca" está habilitada, si "cuenta de servicio" está en la descripción), pero no hay una regla se puede aplicar a todo para distinguir claramente entre los dos.

En el futuro, estamos buscando mejorar esto / cosas limpias de primavera para hacer una distinción clara. Probablemente usaremos los campos OU y Descripción para este propósito.

Antes de hacer esto, aunque quería comprobarlo; es la forma en que esto debe hacerse; es decir, algún atributo específicamente para este propósito (¿tal vez un valor de objectCategory diferente a Person?), o una convención de nomenclatura estándar reconocida, o cada empresa descubre su propio enfoque?

active-directory ldap best-practices JohnLBevan
fuente
3
Como nota al margen, si está utilizando el servidor 2012, puede crear cuentas de servicio administradas. Siempre que sea posible, se recomienda utilizar estos technet.microsoft.com/en-us/library/hh831451.aspx
Drifter104
44
Podrías (y probablemente deberías) usar cuentas de servicio administrado, que son fácilmente identificables. - blogs.technet.com/b/askds/archive/2009/09/10/…
joeqwerty
Gracias a ambos. @ Drifter104 FYI: parece que los MSA estuvieron disponibles en Windows Server 2008 R2. technet.microsoft.com/en-us/library/dd560633(v=ws.10).aspx
JohnLBevan
2
Los MSA @JohnLBevan estuvieron disponibles en 2008 R2, pero se mejoraron en 2012 cuando se convirtieron en Cuentas de servicios administrados de grupo (gMSA), lo que eliminó muchas de las limitaciones de los MSA anteriores.
Ryan Ries

Respuestas:

11

No he visto nada que pueda interpretarse como un estándar "oficial". Lo que generalmente he hecho es usar un prefijo de nomenclatura estándar y mantenerlos en una unidad organizativa. Puede usar el campo Descripción o el campo Departamento también para ordenar / seleccionar fácilmente.

Señor smythe
fuente
4

No existe una solución "oficial" para este problema, ni ningún atributo AD específico destinado a transmitir "esta es una cuenta de servicio". Varios lugares utilizan diversas técnicas, que pueden incluir unidades organizativas, grupos, descripciones, prefijos de nombres, etc. pero en realidad es solo una distinción cosmética: las cuentas de servicio son exactamente los mismos objetos que las cuentas de usuario.

Massimo
fuente
1

Microsoft Active Directory usa el atributo objectCategory como un lenguaje de programación podría definir una "clase". Por defecto, los usuarios tienen "objectCategory = CN = Person, CN = Schema, CN = Configuration, DC = mydomain, dc = com". Puede anular esto con otro DN, como cuenta o posixAccount.

Tim Nowaczyk
fuente