ユーザーとActive Directoryのサービスアカウントを区別する

質問

区別するために「正しい」/標準的な方法があるService AccountsからUser AccountsADには？

より詳しい情報

特定のシナリオでは、AD資格情報の下で（つまり、サービスアカウントの下で）システムを実行しています。これらのサービスアカウントは、ユーザーアカウントとまったく同じ方法で作成されます。唯一の違いは名前と説明です。2つのアカウントタイプを区別するためにいくつかの処理が行われています（たとえば、アカウントがどのOUにあるか、「サービスアカウント」が説明にある場合、「パスワードを無期限にする」が有効になっているかどうか）。ルールは1つではありません。 2つを明確に区別するためにすべてに適用できます。

今後、この/春のクリーンなものを改善して、区別を明確にすることを目指しています。この目的のために、OUフィールドと説明フィールドの両方を使用する可能性があります。

これを行う前に、確認したかったのですが これを行う方法です。つまり、この目的に特化した属性（Personとは異なるobjectCategory値など）、または認められている標準の命名規則、または各企業が独自のアプローチを理解していますか？

「公式」の標準と解釈できるものは何も見ていません。私が通常行っていることは、標準の名前付けプレフィックスを使用することと、それらをOUに保持することです。説明フィールドまたは部門フィールドを使用して、簡単に並べ替え/選択できます。

この問題に対する「公式の」解決策はなく、「これはサービスアカウントです」という意味の特定のAD属性もありません。さまざまな場所でさまざまな手法が使用され、OU、グループ、説明、名前のプレフィックスなどが含まれる場合があります。ただし、実際には表面的な違いにすぎません。サービスアカウントはユーザーアカウントとまったく同じオブジェクトです。

Microsoft Active Directoryは、プログラミング言語が「クラス」を定義するように、objectCategory属性を使用します。デフォルトでは、ユーザーは「objectCategory = CN = Person、CN = Schema、CN = Configuration、DC = mydomain、dc = com」を持っています。これを、アカウントやposixAccountなどの別のDNで上書きできます。