web-dev-qa-db-ja.com

ユーザーとActive Directoryのサービスアカウントを区別する

質問

ADでService AccountsUser Accountsを区別する「正しい」/標準的な方法はありますか?

詳細

特定のシナリオでは、AD資格情報の下で(つまり、サービスアカウントの下で)システムが実行されています。これらのサービスアカウントは、ユーザーアカウントとまったく同じ方法で作成されます。唯一の違いは名前と説明です。 2つのアカウントタイプを区別するためにいくつかの処理が行われています(たとえば、アカウントがどのOUにあるか、「サービスアカウント」が説明にある場合、「パスワードを無期限にする」が有効になっているかどうか)。 2つを明確に区別するためにすべてに適用できます。

今後、この/春のクリーンなものを改善して、区別を明確にすることを目指しています。この目的のために、OUフィールドとDescriptionフィールドの両方を使用する可能性があります。

これを行う前に、確認したかったのですが。これを行う方法です。つまり、この目的専用の属性(Personとは異なるobjectCategory値など)、または認められている標準の命名規則、または各企業が独自のアプローチを理解していますか?

8
JohnLBevan

「公式」の標準として解釈できるものは何も見たことがありません。私が通常行っていることは、標準の名前付けプレフィックスを使用することと、それらをOUに保持することです。説明フィールドまたは部門フィールドを使用して、簡単にソート/選択できます。

11
Mr. Smythe

この問題に対する「公式の」解決策も、「これはサービスアカウントである」ことを示す特定のAD属性もありません。さまざまな場所でさまざまな手法が使用され、OU、グループ、説明、名前のプレフィックスなどが含まれる場合があります。ただし、実際には表面的な違いにすぎません。サービスアカウントはユーザーアカウントとまったく同じオブジェクトです。

4
Massimo

Microsoft Active Directoryは、プログラミング言語が「クラス」を定義するように、objectCategory属性を使用します。デフォルトでは、ユーザーは「objectCategory = CN = Person、CN = Schema、CN = Configuration、DC = mydomain、dc = com」を持っています。これを、アカウントやposixAccountなどの別のDNでオーバーライドできます。

1
Tim Nowaczyk