Distinguir entre usuários e contas de serviço no Active Directory

8

Pergunta

Existe uma maneira "correta" / padrão de distinguir Service Accounts de User Accounts em AD?

Mais informações

Em determinados cenários, temos sistemas em execução em Credenciais do AD (por exemplo, em uma conta de serviço). Essas contas de serviço são criadas exatamente da mesma maneira que as contas de usuário; a única diferença é o nome e a descrição. Algumas coisas foram feitas para fazer uma distinção entre os dois tipos de conta (por exemplo, em que OU a conta está, se "a senha nunca expira" está habilitada, se "conta de serviço" está na descrição), mas não há uma regra pode ser aplicado a tudo para distinguir claramente entre os dois.

Seguindo em frente, procuramos melhorar essas coisas para deixar a distinção clara. Provavelmente usaremos os campos OU e Description para essa finalidade.

Antes de fazer isso, eu queria verificar; é a maneira pela qual isso deve ser feito; isto é, algum atributo especificamente para essa finalidade (talvez um valor de objectCategory diferente de Person?) ou uma convenção de nomenclatura padrão reconhecida, ou cada empresa descobre sua própria abordagem?

    
por JohnLBevan 10.08.2015 / 17:11

2 respostas

11

Eu não vi nada que pudesse ser interpretado como um padrão "oficial". O que eu geralmente faço é usar um prefixo de nomenclatura padrão, bem como mantê-los em uma UO. Você pode usar o campo Descrição ou o campo Departamento para facilitar a classificação / seleção.

    
por 10.08.2015 / 17:14
4

Não existe uma solução "oficial" para este problema, nem qualquer atributo específico do AD significa transmitir "esta é uma conta de serviço". Vários locais usam várias técnicas, que podem incluir UOs, grupos, descrições, prefixos de nomes e assim por diante; mas é apenas uma distinção estética: as contas de serviço são exatamente os mesmos objetos que as contas de usuário.

    
por 10.08.2015 / 17:18