공유 도메인 계정을 사용하여 회사에서 여러 서비스를 실행하고 있습니다. 불행히도이 계정의 자격 증명은 널리 배포되며 서비스 및 비 서비스 목적으로 자주 사용됩니다. 이로 인해 공유 계정이 잠겨 서비스가 일시적으로 다운 될 수 있습니다.
분명히이 상황은 바뀌어야합니다. 계획은 새 계정으로 실행되도록 서비스를 변경하는 것이지만 해당 계정에는 동일한 잠금 정책이 적용되므로 이것이 충분하지 않다고 생각합니다.
내 질문은 이것입니다 : 우리는 서비스 계정을 다른 도메인 계정과 다르게 설정해야한다면, 그 계정을 어떻게 관리합니까? 우리는 2003 도메인을 운영하고 있으며 도메인 컨트롤러를 업그레이드하는 것은 단기적으로 실행 가능한 솔루션이 아닙니다.
답변:
몇 가지 생각 :
서비스 당 또는 환경에 따라 서비스 유형별로 계정이 하나씩 있습니다.
계정은 도메인 계정이어야합니다.
계정에는 만료되지 않는 강력한 암호가 있어야합니다 *. 사람들이 로그온하기 위해 암호를 사용하는 데 어려움을 겪기 위해 어딘가에 기록되는 임의의 암호 (KeePass가 적합 함)를 생성하는 것이 이상적입니다. 말하자면...
... (일반적으로) 계정은 대화식으로 로그온 할 권한이없는 그룹의 구성원이어야합니다. 이것은 그룹 정책을 통해 제어 할 수 있습니다.
최소 권한의 원칙을 명심하십시오. 계정은 더 이상 자신의 업무를 수행하는 데 필요한 권한을 가져야합니다 . 그래 비 페이스가 지적했듯이 이것을 유지하려면 가능한 경우 기본 제공 계정을 사용하십시오. Local Service네트워크 액세스가 필요하지 않은 경우. Network Service컴퓨터 계정이 충분히 안전하므로 네트워크에 액세스 할 때 Local System가능한 경우 계정을 사용하지 마십시오 .
* 회사 보안 정책이이 정책과 호환되지 않는 한, 아마도 소리는 :-)