web-dev-qa-db-ja.com

サービスアカウントのベストプラクティスは何ですか?

共有ドメインアカウントを使用して、社内でいくつかのサービスを実行しています。残念ながら、このアカウントの資格情報は広く配布されており、サービスと非サービスの両方の目的で頻繁に使用されています。これにより、この共有アカウントがロックされているためにサービスが一時的にダウンする可能性がある状況が発生しています。

明らかに、この状況を変える必要があります。新しいアカウントで実行するようにサービスを変更する予定ですが、そのアカウントには同じロックポリシーが適用されるため、これでは十分ではないと思います。

私の質問は次のとおりです。他のドメインアカウントとは異なる方法でサービスアカウントを設定する必要があります。設定する場合、それらのアカウントをどのように管理しますか。 2003ドメインを実行しており、ドメインコントローラーのアップグレードは短期的には実行可能なソリューションではないことに注意してください。

windows-server-2003active-directorybest-practices
9
LockeCJ

いくつかの考え:

  • サービスごとに1つのアカウント、または環境に応じてサービスタイプごとに1つのアカウント。

  • アカウントはドメインアカウントである必要があります。

  • アカウントには、有効期限が切れない強力なパスワードが必要です*。理想的には、どこかに記録されるランダムなパスワードを生成して(KeePassはこれに適しています)、人々がログオンに使用するのを面倒にします。そういえば...

  • ...(一般的に)アカウントは、インタラクティブにログオンする権限を持たないグループのメンバーである必要があります。これは、グループポリシーを介して制御できます。

  • 最小特権の原則を覚えておいてください。アカウントには、仕事をするために必要な権利が必要ですそしてそれ以上。これに合わせて、gravyfaceが指摘しているように、可能な場合は組み込みのアカウントを使用してください。 Local Serviceネットワークアクセスが不要な場合。マシンアカウントは十分に安全であるため、ネットワークにアクセスするときはNetwork Serviceであり、可能な場合はLocal Systemアカウントの使用を避けてください。

*あなたの会社のセキュリティポリシーがこれと互換性がない場合を除いて、しかし物事の音からするとおそらく:-)

7
Chris McKeown