Algumas reflexões:
-
Uma conta por serviço, ou talvez por tipo de serviço, dependendo do seu ambiente.
-
As contas devem ser contas de domínio.
-
As contas devem ter uma senha strong que não expire *. Idealmente, gere uma senha aleatória que seja gravada em algum lugar (o KeePass é bom para isso) para que seja difícil para as pessoas usá-la para fazer logon. Falando nisso ...
-
... (Em geral), a conta deve ser membro de um grupo que não tenha os direitos para fazer logon interativamente. Isso pode ser controlado via Política de Grupo.
-
Tenha em mente o princípio do menor privilégio. As contas devem ter os direitos de que precisam para fazer seu trabalho e não mais . Tinta com isso, como mostra a gravyface, use as contas embutidas sempre que possível.
Local Service
quando o acesso à rede não é necessário.Network Service
ao acessar a rede, pois a conta da máquina estará segura o suficiente e evite usar a contaLocal System
, quando possível.
* A menos que a política de segurança da sua empresa não seja compatível com isso, mas pelos sons das coisas, provavelmente é: -)