Назад | Перейти на главную страницу

Как вы управляете учетными данными (паролями) сервисного аккаунта?

Как в среде Windows решить следующие проблемы с учетными записями служб?

  1. Регулярная смена паролей - при использовании одной учетной записи службы на нескольких машинах, как вы регулярно меняете пароли без значительных периодов простоя? Вы просто не склонны их менять?
  2. Отслеживание паролей - по необходимости их должны знать несколько человек, как вы записываете пароли, сохраняя их в достаточной степени секретными?
  3. В какой момент вы используете одну и ту же учетную запись на нескольких машинах / службах? Как вы отслеживаете, какая учетная запись где используется? Какие инструменты помогут с этим?
  4. Кто-нибудь нашел какие-либо хорошие ресурсы для соответствующих минимальных настроек разрешений для общих требований к учетной записи службы для таких приложений, как SQL Server, Sharepoint и т. Д.

Переключение на Server 2008 R2 повсюду ^^ (ладно, может, и нет, но подумал, что стоит упомянуть Управляемая учетная запись службы и виртуальная учетная запись особенности, которые обещают разрешить этот беспорядок)

Многие из наших клиентов используют Secret Server для управления своими учетными записями служб.

Он может автоматически обнаруживать, где используются ваши учетные записи служб (будет сканировать вашу сеть на предмет использования), а затем эти службы Windows могут быть добавлены в качестве «зависимости» для учетных данных. Можно установить график истечения срока действия (скажем, каждые 30 дней), а затем он автоматически сгенерирует новый случайный пароль для учетной записи службы AD и изменит все места, которые он использовал (даже остановив и перезапустив службы Windows). Secret Server также поддерживает пользователей пула приложений IIS и запланированные задачи Windows в качестве «зависимостей».

Получите бесплатную 30-дневную пробную версию здесь: http://www.thycotic.com

Джоэл,

Мы используем стороннее приложение для управления ротацией паролей для учетных записей служб. Приложение отслеживает пароли, создает новые и предлагает хранилище, чтобы вы могли получить доступ к паролям, если и когда это необходимо.

Мы стараемся повторно использовать учетные записи служб, когда это возможно, и в рамках процесса создания учетной записи у нас есть форма, которую необходимо заполнить. когда форма отправляется, она сохраняется, а созданная учетная запись сохраняется вместе с формой. Таким образом, если нам нужно знать, кто использует учетную запись или почему она была создана, мы можем исследовать. мы также следим за тем, чтобы поле менеджера в AD было правильно заполнено и менеджеры получили задание знать, за какие учетные записи служб они несут ответственность.

В MSDN будет обширная информация о минимальных разрешениях, необходимых для общих настроек учетной записи службы. Как всегда, то, как вы настраиваете эти параметры, зависит от потребностей вашей среды.

я бы рекомендовал passgen.exe Скачать информацию здесь Просто просмотрите сопроводительный документ. Он дает точный сценарий изменения пароля на нескольких компьютерах и показывает, насколько легко сохранить их уникальными и сложными.