Как вы управляете учетными данными (паролями) учетной записи службы?
В среде Windows, как вы решаете следующие проблемы с учетными записями служб?
- Обычные изменения паролей - при использовании одной учетной записи на нескольких компьютерах, как вы регулярно меняете пароли без значительных периодов простоя? Вы склонны просто никогда не менять их?
- Отслеживание паролей - по необходимости несколько человек должны знать их, как вы записываете пароли, сохраняя при этом их разумную тайну?
- В какой момент вы используете одну и ту же учетную запись на нескольких машинах / сервисах? Как вы отслеживаете, какая учетная запись используется где? Какие-нибудь инструменты, чтобы помочь с этим?
- Кто-нибудь нашел какие-либо хорошие ресурсы для соответствующих минимальных настроек разрешений для общих требований учетной записи службы для приложений, таких как SQL Server, Sharepoint и т. Д.
4 ответа
Переключение на Server 2008 R2 повсюду ^^ (хорошо, возможно, нет - но подумал, что я должен упомянуть функции управляемой учетной записи службы и функции виртуальной учетной записи, которые обещают решить эту проблему)
Многие из наших клиентов используют Secret Server для управления своими учетными записями.
Он может автоматически определять, где используются ваши учетные записи служб (будет проверять вашу сеть на предмет использования), а затем эти службы Windows могут быть добавлены в качестве "зависимости" для учетных данных. Можно установить расписание истечения срока действия (скажем, каждые 30 дней), после чего он автоматически сгенерирует новый случайный пароль для учетной записи службы AD и изменит все используемые им места (даже остановив и перезапустив службы Windows). Secret Server также поддерживает пользователей пула приложений IIS и запланированные задачи Windows как "зависимости".
Получить бесплатную 30-дневную пробную версию здесь: http://www.thycotic.com/
Джоэл,
Мы используем стороннее приложение для управления сменой паролей учетных записей служб. Приложение отслеживает пароли, создает новые и предлагает хранилище, чтобы вы могли получить доступ к паролям, если и когда это необходимо.
Мы стараемся по возможности повторно использовать учетные записи служб, и в рамках процесса создания учетных записей у нас есть форма, которую люди должны заполнить. после отправки формы она сохраняется, а созданная учетная запись сохраняется вместе с формой. Таким образом, если нам нужно знать, кто использует учетную запись или почему она была создана, мы можем провести исследование. мы также следим за тем, чтобы поле менеджера в AD было заполнено правильно, а менеджерам было поручено узнать, за какие учетные записи службы они отвечают.
MSDN будет располагать обширной информацией о минимальных разрешениях, необходимых для общих настроек учетной записи службы. Как всегда, как вы настраиваете эти параметры, зависит от потребностей вашей среды.
Я бы порекомендовал passgen.exe Скачать информацию здесь Просто просмотрите сопроводительный документ. Он дает точный сценарий изменения пароля на нескольких компьютерах и позволяет легко сохранять их уникальными и сложными.