Bedakan Antara Pengguna dan Akun Layanan di Direktori Aktif

8

Pertanyaan

Apakah ada cara "benar" / standar untuk membedakan Service Accountsdari User Accountsdalam AD?

Info lebih lanjut

Dalam skenario tertentu, kami memiliki sistem yang berjalan di bawah Kredensial AD (yaitu di bawah Akun Layanan). Akun Layanan ini dibuat dengan cara yang persis sama dengan akun pengguna; satu-satunya perbedaan adalah nama dan deskripsi. Beberapa hal telah dilakukan untuk membuat perbedaan antara kedua jenis akun (mis. Di mana OU akun berada, apakah "kata sandi tidak pernah kedaluwarsa" diaktifkan, jika "akun layanan" ada dalam uraian), tetapi tidak ada aturan yang dapat diaplikasikan pada semuanya untuk membedakan secara jelas antara keduanya.

Melangkah ke depan, kami ingin meningkatkan / membersihkan hal-hal ini untuk membuat perbedaan menjadi jelas. Kami kemungkinan akan menggunakan bidang OU dan Deskripsi untuk tujuan ini.

Sebelum melakukan ini, saya ingin memeriksa; adalah cara di mana ini harus dilakukan; yaitu beberapa atribut khusus untuk tujuan ini (mungkin nilai objekKategori berbeda dengan Orang?), atau konvensi penamaan standar yang diakui, atau apakah masing-masing perusahaan mengetahui pendekatan mereka sendiri?

active-directory ldap best-practices JohnLBevan
sumber
3
Sebagai catatan, jika Anda menggunakan server 2012 Anda sebenarnya dapat membuat akun layanan terkelola. Mana mungkin itu adalah praktek terbaik untuk menggunakan technet.microsoft.com/en-us/library/hh831451.aspx
Drifter104
4
Anda dapat (dan mungkin harus) menggunakan Akun Layanan Terkelola, yang mudah diidentifikasi. - blogs.technet.com/b/askds/archive/2009/09/10/…
joeqwerty
Terima kasih keduanya @ Drifter104 FYI: sepertinya MSA tersedia di Windows Server 2008 R2. technet.microsoft.com/en-us/library/dd560633(v=ws.10).aspx
JohnLBevan
2
@JohnLBevan MSA menjadi tersedia pada 2008 R2, tetapi mereka ditingkatkan pada 2012 ketika mereka menjadi Akun Layanan yang Dikelola Grup (gMSA,), yang menghilangkan banyak keterbatasan MSA yang lebih lama.
Ryan Ries

Jawaban:

11

Saya belum melihat apa pun yang dapat ditafsirkan sebagai standar 'resmi'. Apa yang biasanya saya lakukan adalah menggunakan awalan penamaan standar serta menyimpannya dalam OU. Anda dapat menggunakan bidang Deskripsi atau bidang Departemen juga untuk pengurutan / pemilihan yang mudah.

Tuan Smythe
sumber
4

Tidak ada solusi "resmi" untuk masalah ini, atau atribut AD spesifik apa pun yang dimaksudkan untuk menyampaikan "ini adalah akun layanan". Berbagai tempat menggunakan berbagai teknik, yang dapat mencakup OU, grup, deskripsi, awalan nama, dan sebagainya; tetapi ini hanyalah perbedaan kosmetik: akun layanan adalah objek yang sama persis dengan akun pengguna.

Massimo
sumber
1

Microsoft Active Directory menggunakan atribut objectCategory seperti bahasa pemrograman mungkin mendefinisikan "kelas". Secara default, pengguna memiliki "objectCategory = CN = Orang, CN = Skema, CN = Konfigurasi, DC = mydomain, dc = com". Anda dapat mengesampingkan ini dengan DN lain, seperti akun atau posixAccount.

Tim Nowaczyk
sumber