Quali sono le pratiche migliori per gli account di servizio?

Stiamo eseguendo diversi servizi nella nostra azienda utilizzando un account di dominio condiviso. Purtroppo, le credenziali di questo account sono ampiamente distribuite e vengono utilizzate frequentemente per scopi di servizio e non di servizio. Ciò ha portto ad una situazione in cui è ansible che i servizi siano temporaneamente in discesa a causa di questo block di account condiviso.

Ovviamente, questa situazione deve cambiare. Il piano è quello di cambiare i servizi da eseguire sotto un nuovo account, ma non credo che questo sia abbastanza lontano, poiché tale account è sobject alla stessa politica di block.

  • Adobe Reader si blocca su Citrix
  • Ordine del server DNS non corretto in Windows 7 tramite PPTP VPN a Windows 2003 Server
  • Spostare le cartelle condivise e le cartelle di profilo utente in un nuovo server
  • LLMNR Disabilitare eventuali problemi?
  • Come migrare meglio un server a un nuovo hardware
  • Accesso negato quando si tenta di accedere al server locale dopo l'aggiornamento a Windows Server 2003 SP1
  • Le mie domande sono queste: dovremmo impostare gli account dei servizi in modo diverso rispetto agli altri account di dominio e, se lo facciamo, come gestire tali account. Tieni presente che stiamo eseguendo un dominio 2003 e l'aggiornamento del controller di dominio non è una soluzione valida nel prossimo termine.

    One Solution collect form web for “Quali sono le pratiche migliori per gli account di servizio?”

    Alcuni pensieri:

    • Un conto per servizio, o forse per tipo di servizio a seconda dell'ambiente.

    • Gli account devono essere account di dominio.

    • Gli account devono avere una password forte che non scada *. Idealmente generare una password random che viene registrata da qualche parte (KeePass è buono per questo) per rendere un dolore per le persone per utilizzarlo per accedere. Parlando di quali …

    • … (In generale) l'account dovrebbe essere un membro di un gruppo che non dispone dei diritti di accesso in modo interattivo. Questo può essere controllato tramite Criteri di gruppo.

    • Tenga presente il principio del minimo privilegio. I conti dovrebbero avere i diritti necessari per fare il loro lavoro e non più . Inkeeping con questo, come sottolinea gravyface, utilizzare i conti incorporati ove ansible. Local Service quando non è necessario l'accesso alla networking. Network Service quando accede alla networking come account di macchina sarà abbastanza sicuro e evita di utilizzare l'account di Local System , ove ansible.

    * A less che la tua politica di sicurezza aziendale non sia compatibile con questo, ma dai suoni delle cose probabilmente è 🙂

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.