共有ドメインアカウントを使用して、社内でいくつかのサービスを実行しています。残念ながら、このアカウントの資格情報は広く配布されており、サービス目的と非サービス目的の両方で頻繁に使用されています。これにより、この共有アカウントがロックされているためにサービスが一時的に停止する可能性があります。
明らかに、この状況は変更する必要があります。新しいアカウントで実行するようにサービスを変更する計画ですが、そのアカウントには同じロックポリシーが適用されるため、これでは十分とは言えません。
私の質問はこれです。他のドメインアカウントとは異なる方法でサービスアカウントを設定する必要がありますか。設定する場合、それらのアカウントをどのように管理するのですか。2003ドメインを実行しており、ドメインコントローラのアップグレードは短期的には実行可能なソリューションではないことに注意してください。
回答:
いくつかの考え:
サービスごと、または環境に応じてサービスタイプごとに1つのアカウント。
アカウントはドメインアカウントである必要があります。
アカウントには有効期限のない強力なパスワードが必要です*。理想的には、どこかに記録されるランダムなパスワードを生成し(KeePassがこれに適しています)、ログオンにパスワードを使用するのが面倒になります。そういえば...
...(一般的に)アカウントは、対話的にログオンする権限のないグループのメンバーである必要があります。これはグループポリシーで制御できます。
最小特権の原則に留意してください。アカウントは、彼らが自分の仕事をする必要はありませ権持っている必要があり、それ以上とします。これを守り、グレイビーフェイスが指摘するように、可能な場合は組み込みのアカウントを使用します。Local Serviceネットワークアクセスが不要な場合。Network Serviceマシンアカウントとしてネットワークにアクセスする場合は十分に安全でありLocal System、可能な場合はアカウントを使用しないでください。
*会社のセキュリティポリシーがこれと互換性がない場合を除いて、物事の音からはおそらく:-)