Назад | Перейти на главную страницу

Различать пользователей и учетные записи служб в Active Directory

Вопрос

Есть ли "правильный" / стандартный способ отличить Service Accounts из User Accounts в рекламе?

Больше информации

В определенных сценариях у нас есть системы, работающие под учетными данными AD (то есть под учетной записью службы). Эти учетные записи служб создаются точно так же, как учетные записи пользователей; единственное отличие - это название и описание. Было сделано несколько вещей, чтобы провести различие между двумя типами учетных записей (например, в каком подразделении находится учетная запись, включен ли параметр «пароль никогда не истекает», если в описании есть «служебная учетная запись»), но нет ни одного правила, которое может применяться ко всему, чтобы четко различать их.

Двигаясь вперед, мы стремимся улучшить эту / весеннюю чистку, чтобы сделать различие более четким. Скорее всего, мы будем использовать для этой цели поля OU и Description.

Перед тем как это сделать, я хотел проверить; способ, которым это должно быть сделано; то есть какой-то атрибут специально для этой цели (может быть, значение objectCategory отличается от Person?), или признанное стандартное соглашение об именах, или каждая компания выясняет свой собственный подход?

Я не видел ничего, что можно было бы истолковать как «официальный» стандарт. Обычно я использовал стандартные префиксы именования, а также сохранял их в OU. Вы также можете использовать поле «Описание» или «Отдел» для упрощения сортировки / выбора.

Не существует «официального» решения этой проблемы или какого-либо конкретного атрибута AD, который означал бы, что «это учетная запись службы». В разных местах используются различные методы, которые могут включать в себя подразделения, группы, описания, префиксы имен и так далее; но на самом деле это лишь косметическое различие: учетные записи служб - это те же объекты, что и учетные записи пользователей.

Microsoft Active Directory использует атрибут objectCategory подобно тому, как язык программирования может определять «класс». По умолчанию у пользователей есть «objectCategory = CN = Person, CN = Schema, CN = Configuration, DC = mydomain, dc = com». Вы можете переопределить это с помощью другого DN, например account или posixAccount.