Active-Directory

區分 Active Directory 中的使用者和服務帳戶

  • September 27, 2019

問題

是否有“正確”/標準的方式來區​​分Service AccountsAD User Accounts

更多資訊

在某些情況下,我們的系統在 AD 憑據下執行(即在服務帳戶下)。這些服務帳戶的創建方式與使用者帳戶完全相同;唯一的區別是名稱和描述。已經做了一些事情來區分這兩種帳戶類型(例如,帳戶在哪個 OU,是否啟用“密碼永不過期”,是否在描述中包含“服務帳戶”),但沒有一個規則可以可以應用到任何事物上,以清楚地區分兩者。

展望未來,我們正在尋求改進這個/春季清潔的東西,以明確區分。為此,我們可能會同時使用 OU 和 Description 欄位。

在這樣做之前,我想檢查一下;是應該這樣做的一種方式;即一些專門用於此目的的屬性(可能是與 Person 不同的 objectCategory 值?),或公認的標準命名約定,或者每個公司是否都有自己的方法?

我沒有看到任何可以被解釋為“官方”標準的東西。我通常所做的是使用標準命名前綴以及將它們保存在 OU 中。您也可以使用描述欄位或部門欄位進行簡單的排序/選擇。

這個問題沒有“官方”解決方案,也沒有任何特定的 AD 屬性來表達“這是一個服務帳戶”。各個地方使用各種技術,可能包括 OU、組、描述、名稱前綴等;但這實際上只是表面上的區別:服務帳戶與使用者帳戶是完全相同的對象。

引用自:https://serverfault.com/questions/713108