Apa praktik terbaik untuk akun layanan?

Kami menjalankan beberapa layanan di perusahaan kami menggunakan akun domain bersama. Sayangnya, kredensial untuk akun ini didistribusikan secara luas dan sering digunakan untuk tujuan layanan dan non-layanan. Ini telah mengarah pada situasi di mana ada kemungkinan bahwa layanan akan turun sementara karena akun bersama ini dikunci.

Jelas, situasi ini perlu diubah. Rencananya adalah mengubah layanan untuk berjalan di bawah akun baru, tapi saya rasa ini tidak cukup jauh, karena akun itu tunduk pada kebijakan penguncian yang sama.

Pertanyaan saya adalah ini: Haruskah kita membuat akun layanan berbeda dari akun domain lain, dan jika kita lakukan, bagaimana kita mengelola akun tersebut. Harap diingat bahwa kami menjalankan domain 2003, dan memutakhirkan pengontrol domain bukan solusi yang layak dalam waktu dekat.

Beberapa pemikiran:

• Satu akun per layanan, atau mungkin per jenis layanan tergantung pada lingkungan Anda.

• Akun harus akun domain.

• Akun harus memiliki kata sandi yang kuat yang tidak kedaluwarsa *. Idealnya buat kata sandi acak yang direkam di suatu tempat (KeePass bagus untuk ini) untuk membuatnya susah bagi orang-orang untuk menggunakannya untuk masuk. Ngomong-ngomong soal...

• ... (Secara umum) akun harus menjadi anggota grup yang tidak memiliki hak untuk masuk secara interaktif. Ini dapat dikontrol melalui Kebijakan Grup.

• Ingatlah prinsip hak istimewa yang paling rendah. Akun harus memiliki hak yang mereka butuhkan untuk melakukan pekerjaan mereka dan tidak lebih . Dengan mempertahankan ini, seperti yang ditunjukkan oleh gravyface, gunakan akun bawaan jika memungkinkan. Local Serviceketika akses jaringan tidak diperlukan. Network Serviceketika mengakses jaringan karena akun mesin akan cukup aman, dan hindari menggunakan Local Systemakun jika memungkinkan.

* Kecuali jika kebijakan keamanan perusahaan Anda tidak kompatibel dengan ini, tetapi menurut suara hal itu mungkin adalah :-)