サービスアカウントの資格情報(パスワード)をどのように管理しますか?
Windows環境では、サービスアカウントに関する次の問題にどのように対処しますか?
- 定期的なパスワード変更-複数のマシンで単一のサービスアカウントを使用して、重大な停止期間なしに定期的にパスワードを変更するにはどうすればよいですか?それらを決して変更しない傾向がありますか?
- パスワードを追跡する-必然的に複数の人がこれらを知る必要があるため、合理的に秘密に保ちながらパスワードをどのように記録しますか?
- 複数のマシン/サービスで同じアカウントをどの時点で使用していますか?どのアカウントがどこで使用されているかをどのように追跡しますか?これを支援するツールはありますか?
- SQL Server、Sharepointなどのアプリケーションの一般的なサービスアカウント要件に対する適切な最小限の権限設定のための適切なリソースを誰かが見つけましたか?.
多くのお客様は、Secret Serverを使用してサービスアカウントを管理しています。
サービスアカウントが使用されている場所を自動的に検出し(ネットワークの使用状況をスキャンします)、これらのWindowsサービスを資格情報の「依存関係」として追加できます。有効期限のスケジュールを設定でき(たとえば30日ごと)、ADサービスアカウントの新しいランダムパスワードを自動的に生成し、使用するすべての場所を変更します(Windowsサービスの停止と再起動も含む)。シークレットサーバーは、IISアプリケーションプールユーザーとWindowsスケジュールタスクを "依存関係"としてサポートしています。
ここで30日間の無料トライアルを入手: http://www.thycotic.com
全体でServer 2008 R2に切り替える^^(OK、たぶんそうではないかもしれませんが、 管理されたサービスアカウントと仮想アカウント この混乱を解決することを約束するその機能に言及する必要があります)
ジョエル、
サードパーティのアプリケーションを使用して、サービスアカウントのパスワードのローテーションを管理します。アプリはパスワードを追跡し、新しいパスワードを作成し、必要に応じてパスワードにアクセスできるようにボールトを提供します。
可能な場合はサービスアカウントを再利用するようにしています。アカウント作成プロセスの一環として、ユーザーが入力する必要のあるフォームがあります。フォームが送信されると、フォームが保存され、作成されたアカウントがフォームとともに保存されます。そうすれば、誰がアカウントを使用したのか、またはなぜアカウントが作成されたのかを知る必要がある場合は、調査することができます。また、ADのマネージャーフィールドが正しく入力され、マネージャーが担当するサービスアカウントを知るタスクが割り当てられていることを確認します。
MSDNには、一般的なサービスアカウント設定に必要な最小限の権限に関する豊富な情報があります。いつものように、これらの設定を構成する方法は、環境のニーズによって異なります。
passgen.exeをお勧めします ここから情報をダウンロード 付属のドキュメントを参照してください。複数のコンピュータでパスワードを変更する正確なシナリオと、それらを一意かつ複雑に保つことがどれほど簡単かを示します。