Localizando serviços em execução como uma conta de usuário do Active Directory

1

A política de senhas da minha organização exige que as senhas de duas contas em particular sejam atualizadas / alteradas regularmente.

Existe uma maneira de determinar onde uma determinada conta de usuário do AD foi usada? Eu estou tentando determinar o que vai quebrar dentro do diretório ativo antes de alterar a senha para a conta.

    
por Matt 21.01.2013 / 15:06

3 respostas

1

Verifique o log de eventos de segurança em todos os computadores que estão procurando por um logon dessa conta de usuário.

    
por 21.01.2013 / 15:14
1

Talvez a maneira mais fácil seja ativar a auditoria de login bem-sucedida em seus controladores de domínio e, em seguida, pesquisar nos registros do usuário que você está procurando.

Notas do lado do casal:

  • As contas de serviço devem ter algum tipo de estrutura lógica para seu nome. A Microsoft recomenda o formato Fornecedor $ Produto $ Servidor. Então, se você tem o FooBar da Acme rodando no Server01, então o nome da conta de serviço deve ser Acme $ FooBar $ Server01.
  • Você deve acompanhar todas as suas contas de serviço e onde elas são usadas. Isso pode facilmente ser uma simples planilha (Google Docs, LibreOffice, tudo o que for gratuito). No mínimo, ele deve monitorar os nomes das contas, o uso pretendido, a última alteração de senha e os servidores / serviços que os utilizam.
  • As senhas devem ser incrivelmente longas e complexas, eu uso um KeePass para gerar 32 letras "goop". Desta forma, a senha não precisa ser alterada com freqüência. A alteração de senhas protege contra algumas coisas, e nenhuma delas deve se aplicar prontamente a uma conta de serviço com uma boa senha.
  • Você deve revisar suas práticas de negócios regularmente para garantir que elas não causem mais problemas do que elas valem. As práticas devem ser justificadas, a maioria das quais é fácil.

Terminologia:

  • Uma "conta de serviço" é qualquer conta de usuário, pode ser a conta "Administrador" ou qualquer outra, que está sendo usada por um processo que faz logon automaticamente (mais comumente serviços em execução no servidor, daí o nome).
  • O Active Directory é o sistema que mantém as contas de usuário, incluindo senhas. Não é executado como usuário, as contas não são usadas "dentro" dele. As contas são usadas por outros programas.
  • O Windows não possui uma conta "raiz". Existe uma conta "Administrador" que foi configurada quando o AD foi configurado pela primeira vez, mas não é especial na maneira como o "root" é especial em ambientes * nix. Esta conta "Administrador" pode ser completamente substituída por uma relativa fácil no Windows.
por 21.01.2013 / 15:14
0

Você verifica os logs do usuário (como mencionado) ou, alternativamente, apenas altera a senha e vê quais interrupções. É mais fácil / rápido procurar falhas de auditoria e bloqueios de conta do que logins bem-sucedidos, e há alguns Ferramentas do MS que você pode usar para rastrear bloqueios de conta para inicializar .

    
por 21.01.2013 / 21:08