Мне просто интересно, когда вы должны установить учетную запись пользователя, чтобы пароль никогда не истек. На каких счетах это хорошая идея?
Мне просто интересно, когда вы должны установить учетную запись пользователя, чтобы пароль никогда не истек. На каких счетах это хорошая идея?
Ответы:
Единственное место, которое я вижу оправданным - это сервисные аккаунты. Как правило, вы не хотите, чтобы срок действия пароля учетной записи службы просто истек, что может привести к сбою всех процессов, выполняемых этой учетной записью. Интерактивные учетные записи пользователей всегда должны иметь пароли, соответствующие политике паролей.
Вы должны удостовериться, что если вы действительно настроили учетные записи служб, чтобы они не истекли, у вас были хорошие процессы, связанные с запросом этих учетных записей, и что вы должны вручную сбросить пароли через некоторый интервал. Во многих отраслях существуют стандарты соответствия, которые предписывают замену всех паролей учетных записей через определенный интервал.
Единственный раз, когда мы используем опцию «Срок действия пароля не истекает», это учетные записи служб. Мы используем систему за пределами Active Directory для предоставления учетных записей пользователей AD, и ее часть заставляет пользователей менять свой пароль каждые 90 дней. Если опция не отмечена, было известно, что нужно блокировать учетные записи и ломать вещи в 2 часа ночи при запуске скрипта.
Основной из них являются служебные учетные записи, как упоминалось ранее, однако другой вариант предназначен для учетных записей, которые могут иметь профиль с очень низким уровнем риска в сочетании с нечастым профилем использования - например, учетная запись, которая регистрируется один раз в год и предоставляет доступ только для чтения некоторым некритические данные. Если срок действия пароля истек, пользователь либо записывает пароль, либо использует справочную службу для сброса пароля каждый раз.
Это не лучшая практика, но если риск низок, это может быть правильным решением в этом примере.