區分 Active Directory 中的使用者和服務帳戶

問題

是否有“正確”/標準的方式來區​​分Service AccountsAD User Accounts？

更多資訊

在某些情況下，我們的系統在 AD 憑據下執行（即在服務帳戶下）。這些服務帳戶的創建方式與使用者帳戶完全相同；唯一的區別是名稱和描述。已經做了一些事情來區分這兩種帳戶類型（例如，帳戶在哪個 OU，是否啟用“密碼永不過期”，是否在描述中包含“服務帳戶”），但沒有一個規則可以可以應用到任何事物上，以清楚地區分兩者。

展望未來，我們正在尋求改進這個/春季清潔的東西，以明確區分。為此，我們可能會同時使用 OU 和 Description 欄位。

在這樣做之前，我想檢查一下；是應該這樣做的一種方式；即一些專門用於此目的的屬性（可能是與 Person 不同的 objectCategory 值？），或公認的標準命名約定，或者每個公司是否都有自己的方法？

我沒有看到任何可以被解釋為“官方”標準的東西。我通常所做的是使用標準命名前綴以及將它們保存在 OU 中。您也可以使用描述欄位或部門欄位進行簡單的排序/選擇。

這個問題沒有“官方”解決方案，也沒有任何特定的 AD 屬性來表達“這是一個服務帳戶”。各個地方使用各種技術，可能包括 OU、組、描述、名稱前綴等；但這實際上只是表面上的區別：服務帳戶與使用者帳戶是完全相同的對象。

引用自：https://serverfault.com/questions/713108