Pertanyaan
Apakah ada cara "benar" / standar untuk membedakan Service Accounts
dari User Accounts
dalam AD?
Info lebih lanjut
Dalam skenario tertentu, kami memiliki sistem yang berjalan di bawah Kredensial AD (yaitu di bawah Akun Layanan). Akun Layanan ini dibuat dengan cara yang persis sama dengan akun pengguna; satu-satunya perbedaan adalah nama dan deskripsi. Beberapa hal telah dilakukan untuk membuat perbedaan antara kedua jenis akun (mis. Di mana OU akun berada, apakah "kata sandi tidak pernah kedaluwarsa" diaktifkan, jika "akun layanan" ada dalam uraian), tetapi tidak ada aturan yang dapat diaplikasikan pada semuanya untuk membedakan secara jelas antara keduanya.
Melangkah ke depan, kami ingin meningkatkan / membersihkan hal-hal ini untuk membuat perbedaan menjadi jelas. Kami kemungkinan akan menggunakan bidang OU dan Deskripsi untuk tujuan ini.
Sebelum melakukan ini, saya ingin memeriksa; adalah cara di mana ini harus dilakukan; yaitu beberapa atribut khusus untuk tujuan ini (mungkin nilai objekKategori berbeda dengan Orang?), atau konvensi penamaan standar yang diakui, atau apakah masing-masing perusahaan mengetahui pendekatan mereka sendiri?
sumber
Jawaban:
Saya belum melihat apa pun yang dapat ditafsirkan sebagai standar 'resmi'. Apa yang biasanya saya lakukan adalah menggunakan awalan penamaan standar serta menyimpannya dalam OU. Anda dapat menggunakan bidang Deskripsi atau bidang Departemen juga untuk pengurutan / pemilihan yang mudah.
sumber
Tidak ada solusi "resmi" untuk masalah ini, atau atribut AD spesifik apa pun yang dimaksudkan untuk menyampaikan "ini adalah akun layanan". Berbagai tempat menggunakan berbagai teknik, yang dapat mencakup OU, grup, deskripsi, awalan nama, dan sebagainya; tetapi ini hanyalah perbedaan kosmetik: akun layanan adalah objek yang sama persis dengan akun pengguna.
sumber
Microsoft Active Directory menggunakan atribut objectCategory seperti bahasa pemrograman mungkin mendefinisikan "kelas". Secara default, pengguna memiliki "objectCategory = CN = Orang, CN = Skema, CN = Konfigurasi, DC = mydomain, dc = com". Anda dapat mengesampingkan ini dengan DN lain, seperti akun atau posixAccount.
sumber