Можно ли создать учетные записи домена, к которым можно получить доступ только через администратора домена или аналогичный доступ?
Цель состоит в том, чтобы создать пользователей домена, которые имеют определенный доступ к сети в зависимости от их задачи, но эти пользователи только предназначен для автоматизированных рабочих мест. Таким образом, им не нужны пароли, и администратор домена всегда может выполнить запуск, чтобы перейти к нужному пользователю для выполнения задания. Отсутствие пароля означает отсутствие шансов, что кто-то его угадает, его запишут или потеряют.
Это может принадлежать Суперпользователь ServerFault, но сначала я попробую здесь, так как для меня это нечеткая граница. Я также открыт для конструктивных альтернатив.
Нет эквивалента беспарольному root пользователь, который можно использовать только через sudo в AD-land. Если у пользователя нет пароля, он будет без пароля для кто угодно на что-нибудь.
Для AD общепринятая практика для учетных записей служб заключается в том, чтобы дать ей какой-то трудно вводимый пароль, который практически невозможно взломать (длинный И сложный), и встроить его в необходимый вход в службу. Такие пароли могут быть исключены из схем ротации паролей; 70-значный пароль случайного ASCII может быть достаточно сложным, чтобы обойти требования ротации, но не все сущности придерживаются того же мнения.
Для учетных записей, которые должны быть доступны через Run-As, эти учетные записи обычно подчиняются той же сложности пароля и требованиям ротации, что и обычные учетные записи для входа.
Вам необходимо использовать детальную политику паролей, а затем изменить acl в учетной записи, чтобы разрешить доступ к учетной записи только определенным учетным записям компьютеров или пользователям.
Не делай этого.
Это приведет к действительно значительным изменениям в AD, которые могут не поддерживаться Microsoft. На самом деле вам нужен пароль, которого никто не знает, потому что он генерируется автоматически и периодически меняется. Они называются управляемые сервисные аккаунты, и может использоваться для запуска служб, которым требуется привилегированный доступ для каждого компьютера.