У меня есть опыт администрирования серверов Linux, но когда дело доходит до Windows, я в значительной степени новичок.
У меня есть много сторонних приложений, которые используют учетную запись администратора AD для аутентификации в корпоративной Active Directory. В общей сложности я нашел более 40 учетных записей администраторов, что с точки зрения соблюдения нормативных требований является красным флагом!
Я уверен, что есть выход из этой ситуации. Я намерен создать учетную запись только для AD, способную запрашивать AD Forrest и возвращаться в приложение, если имя пользователя и пароль действительны или нет. В этой учетной записи не должно быть никаких записей.
Что вы посоветуете в таких ситуациях?
Просто создайте учетную запись пользователя, которая является членом группы пользователей домена. У этой учетной записи не будет прав на запись для других объектов каталога, кроме самого себя.
Если вам нужны дополнительные учетные записи служб, в Windows 2008 R2 есть нечто, называемое управляемыми учетными записями служб. Я никогда ими не пользовался, но не помешает взглянуть на них:
http://technet.microsoft.com/en-us/library/dd560633%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd548356%28v=ws.10%29.aspx
Надеюсь, поможет ;)
Во-первых, когда вы говорите 40 учетных записей уровня администратора, я предполагаю, что вы имеете в виду администратора домена. 40 таких учетных записей опасны по многим причинам, о которых, я уверен, вы уже догадались. В первую очередь я бы порекомендовал открыть группы «Администратор домена», «Администратор предприятия» и «Администратор схемы» в Active Directory. Открытие этих групп позволит вам выбрать вкладку под названием Участники, чтобы действительно увидеть, сколько людей в каждой группе. Три, которые я назвал (администратор домена, администратор предприятия и администратор схемы), являются наиболее важными и обеспечивают максимальный контроль над вашим доменом / лесом, поэтому вы хотите убедиться, что только вы как системный администратор и, возможно, выберите НЕСКОЛЬКО других, которые либо сами админы или которым вы доверяете, имеют эти права. Я бы сказал только вы, но я знаю, что иногда бывают обстоятельства, когда вам нужно иметь других, которые получают эти права; редко, но бывает. Вот скриншот свойств администратора домена для справки:
Следующее, что вам нужно сделать, поскольку вам нужна учетная запись или учетные записи для этих сторонних приложений для связи / аутентификации через AD, - это создать учетную запись MSA или управляемую учетную запись службы. Я использовал эти учетные записи и могу сказать, что, когда доходит до этого, я думаю, что они лучше, чем просто использование обычной учетной записи пользователя в AD. Любой ценой избегайте предоставления каких-либо прав администратора / пользователя без прав администратора.
Что мне нравится делать и что я сделал, так это создать новое подразделение в ADUC для этих учетных записей служб, чтобы ими было легко управлять и они могли иметь определенные вещи, такие как GPO (объекты групповой политики, если вы не знаете, это способы управления массовым количеством компьютеров / пользователей) при необходимости применить к ним гораздо проще.
Вы можете создавать эти MSA и управлять ими с помощью Windows PowerShell, но убедитесь, что вы используете как минимум версию 2 PowerShell. Команда для создания одной из этих учетных записей - это просто Add-ADComputerServiceAccount. Любые другие параметры, с которыми вы хотите создать этого пользователя, можно найти Вот.
Еще одна хорошая вещь в MSA заключается в том, что вы можете создавать так называемых администраторов служб (фактически, людей в AD с разрешениями на управление этими учетными записями MSA), которые могут делегировать контроль над этими учетными записями. Это может быть полезно для вас, поскольку этому человеку не нужны права администратора домена, и в конечном итоге может сэкономить ваше время, поскольку он может управлять учетными записями MSA, что оставляет вам больше времени для более важных вещей системного администратора.
Список лучших практик для MSA см. эта почта непосредственно от группы служб каталогов MS.