O aspecto da separação de interesses dependerá em grande parte do seu ambiente e da dificuldade de separar as coisas versus a simplicidade de compartilhar contas em determinados cenários. Quero dizer, uma das principais características dos gMSAs sobre os MSAs originais é que eles podem ser usados por mais de um sistema.
Em relação aos nomes longos ...
Você pode liberar espaço facilmente, sem atribuir um prefixo como gmsa
. Embora compartilhe muitas classes comuns no atributo objectClass
relacionadas a contas de usuário normais, ele também contém uma única chamada msDS-GroupManagedServiceAccount
, o que facilita o uso em filtros nos quais você deseja incluí-los ou excluí-los. Os gMSAs também são visualmente distintos em ferramentas GUI, como ADUC e similares. Então, hipoteticamente, as pessoas não vão confundi-las com contas de usuário normais em atividades do dia-a-dia.
Eu também notei outra coisa enquanto brincava com isso. Mesmo que o cmdlet New-ADServiceAccount
imponha um limite de 15 caracteres para -SamAccountName
, criar um objeto msDS-GroupManagedServiceAccount
manualmente com o ADSIEdit impõe apenas um limite de 20 caracteres.
Eu não cheguei a testar meu gMSA de 20 caracteres com nada. Então eu não tenho idéia se realmente funciona com qualquer coisa. Mas provavelmente vale mais testes de sua parte se você quiser mais espaço para respirar em sua convenção de nomenclatura.