web-dev-qa-db-fra.com

Distinguer entre les utilisateurs et les comptes de service dans Active Directory

Question

Y a-t-il un moyen "correct"/standard de distinguer Service Accounts de User Accounts en addition?

Plus d'infos

Dans certains scénarios, nous avons des systèmes fonctionnant sous des informations d'identification publicitaires (c'est-à-dire sous un compte de service). Ces comptes de service sont créés exactement de la même manière que les comptes d'utilisateurs; La seule différence étant le nom et la description. Quelques choses ont été faites pour faire une distinction entre les deux types de comptes (par exemple, que le compte est dans lequel le "mot de passe jamais expire" est activé, si "compte de service" est dans la description), mais il n'y a personne de règle qui peut être appliqué à tout pour distinguer clairement les deux.

Aller en avant nous cherchons à améliorer ces choses/printemps propres pour faire une distinction claire. Nous utiliserons probablement les champs OU et description à cette fin.

Avant de le faire, je voulais vérifier; est l'une manière dans laquelle cela devrait être fait; I.e. Certains attributs spécifiquement à cette fin (peut-être une valeur d'objetCategory différente de la personne?) ou une convention de dénomination standard reconnue, ou chaque entreprise découvre-t-elle leur propre approche?

8
JohnLBevan

Je n'ai rien vu qui pourrait être interprété comme une norme "officielle". Ce que j'ai généralement fait est utilisé un préfixe de nommage standard et de les garder dans une unité d'organisation. Vous pouvez utiliser le champ Description ou le champ de département également pour un tri/sélection facile.

11
Mr. Smythe

Il n'y a pas de solution "officielle" à ce problème, ni aucun attribut d'annonces spécifique destiné à transmettre "Ceci est un compte de service". Différents places utilisent diverses techniques, qui peuvent inclure des inconvénients, des groupes, des descriptions, des préfixes de nom, etc. Mais ce n'est vraiment qu'une distinction cosmétique: les comptes de service sont les mêmes objets que les comptes d'utilisateurs.

4
Massimo

Microsoft Active Directory utilise l'attribut ObjectCategory comme une langue de programmation pourrait définir une "classe". Par défaut, les utilisateurs ont "ObjectCategory = cn = personne, cn = schéma, cn = configuration, dc = mydomain, dc = com". Vous pouvez remplacer cela avec un autre DN, comme un compte ou un posixAccount.

1
Tim Nowaczyk