Назад | Перейти на главную страницу

Поиск служб, работающих как учетная запись пользователя Active Directory

Политика паролей моей организации требует, чтобы пароли для двух учетных записей, в частности, обновлялись / менялись на регулярной основе.

Есть ли способ определить, где использовалась конкретная учетная запись пользователя AD? Я пытаюсь определить, что сломается в активном каталоге, прежде чем менять пароль к учетной записи.

Возможно, самый простой способ - включить успешный аудит входа в систему на контроллерах домена, а затем искать в журналах пользователя, которого вы ищете.

Пара боковых примечаний:

  • У учетных записей служб должна быть какая-то логическая структура. Microsoft рекомендует формат Vendor $ Product $ Server. Итак, если у вас есть FooBar Acme, работающий на Server01, тогда имя учетной записи службы должно быть Acme $ FooBar $ Server01.
  • Вам следует отслеживать все свои учетные записи служб и их использование. Это легко может быть простая электронная таблица (Google Docs, LibreOffice, все что угодно, все бесплатно). Как минимум, он должен отслеживать имена учетных записей, предполагаемое использование, последнее изменение пароля и серверы / службы, которые их используют.
  • Пароли должны быть невероятно длинными и сложными, я использую KeePass для создания 32-буквенного "goop". Таким образом, пароль нужно менять не так часто. Смена паролей защищает от нескольких вещей, ни одна из которых не должна применяться к учетной записи службы с хорошим паролем.
  • Вам следует регулярно пересматривать свои методы ведения бизнеса, чтобы убедиться, что они не создают больше проблем, чем они того стоят. Практики должны быть оправданы, большинство из которых просты.

Терминология:

  • «Учетная запись службы» - это любая учетная запись пользователя, может быть учетной записью «Администратор» или любой другой, которая используется процессом, который автоматически входит в систему (обычно службы, работающие на сервере, отсюда и название).
  • Active Directory - это система, в которой хранятся учетные записи пользователей, включая пароли. Он не запускается как пользователь, учетные записи не используются «внутри». Учетные записи используются другими программами.
  • Windows не имеет учетной записи «root». Существует учетная запись «Администратор», которая была настроена при первой настройке AD, но она не является особенной в том смысле, в котором «root» является особенным в средах * nix. Эту учетную запись «Администратора» можно полностью заменить на относительную просто в Windows.

Просканируйте журнал событий безопасности на каждом компьютере в поисках входа в систему с этой учетной записью.

Вы просматриваете журналы для пользователя (как уже упоминалось) или, альтернативно, вы просто меняете пароль и смотрите, что ломается. Легче / быстрее искать сбои аудита и блокировки учетных записей, чем успешные входы в систему, и есть некоторые Инструменты MS, которые можно использовать для отслеживания блокировки учетных записей при загрузке.