サービスアカウントの資格情報（パスワード）をどのように管理しますか？[閉まっている]

Windows環境では、サービスアカウントに関する次の問題にどのように対処しますか？

1. 定期的なパスワード変更-複数のマシンで単一のサービスアカウントを使用して、重大な停止期間なしに定期的にパスワードを変更するにはどうすればよいですか？それらを決して変更しない傾向がありますか？
2. パスワードを追跡する-必然的に複数の人がこれらを知る必要があるため、合理的に秘密に保ちながらパスワードをどのように記録しますか？
3. 複数のマシン/サービスで同じアカウントをどの時点で使用していますか？どのアカウントがどこで使用されているかをどのように追跡しますか？これを支援するツールはありますか？
4. SQL Server、Sharepointなどのアプリケーションの一般的なサービスアカウント要件に対する適切な最小限の権限設定のための適切なリソースを見つけた人はいますか？

多くのお客様は、Secret Serverを使用してサービスアカウントを管理しています。

サービスアカウントが使用されている場所を自動的に検出し（使用状況についてネットワークをスキャンし）、これらのWindowsサービスを資格情報の「依存関係」として追加できます。有効期限のスケジュールを設定でき（30日ごとなど）、ADサービスアカウントの新しいランダムパスワードが自動的に生成され、使用されているすべての場所が変更されます（Windowsサービスの停止と再起動も含む）。Secret Serverは、IISアプリケーションプールユーザーとWindowsスケジュールタスクも「依存関係」としてサポートします。

こちらから30日間の無料トライアルを入手：http : //www.thycotic.com

全体でServer 2008 R2に切り替える^^（OK、たぶんそうではないかもしれませんが、この混乱を解決することが約束されている、管理されたサービスアカウントと仮想アカウントの機能について言及する必要があると思いました）

ジョエル、

サードパーティのアプリケーションを使用して、サービスアカウントのパスワードのローテーションを管理します。アプリはパスワードを追跡し、新しいパスワードを作成し、必要に応じてパスワードにアクセスできるようにボールトを提供します。

可能な場合はサービスアカウントを再利用するよう努めており、アカウント作成プロセスの一環として、ユーザーが記入する必要のあるフォームを用意しています。フォームが送信されると、フォームが保存され、作成されたアカウントがフォームとともに保存されます。そうすれば、誰がアカウントを使用したのか、またはなぜアカウントが作成されたのかを知る必要がある場合、調査することができます。また、ADのマネージャーフィールドが正しく入力され、マネージャーが担当するサービスアカウントを知るタスクが割り当てられていることを確認します。

MSDNには、一般的なサービスアカウント設定に必要な最小限の権限に関する豊富な情報があります。いつものように、これらの設定を構成する方法は、環境のニーズによって異なります。

ここで passgen.exeのダウンロード情報をお勧め します添付のドキュメントに目を通してください。複数のコンピュータでパスワードを変更する正確なシナリオと、それらを一意かつ複雑に保つのがいかに簡単かを示します。