Как вы управляете учетными данными (паролями) учетной записи службы? [закрыто]

В среде Windows, как вы решаете следующие проблемы с учетными записями служб?

1. Обычные изменения паролей - при использовании одной учетной записи на нескольких компьютерах, как вы регулярно меняете пароли без значительных периодов простоя? Вы склонны просто никогда не менять их?
2. Отслеживание паролей - по необходимости несколько человек должны знать их, как вы записываете пароли, сохраняя при этом их разумную тайну?
3. В какой момент вы используете одну и ту же учетную запись на нескольких машинах / сервисах? Как вы отслеживаете, какая учетная запись используется где? Какие-нибудь инструменты, чтобы помочь с этим?
4. Кто-нибудь нашел хорошие ресурсы для соответствующих минимальных настроек разрешений для общих требований учетной записи службы для таких приложений, как SQL Server, Sharepoint и т. Д.

Многие из наших клиентов используют Secret Server для управления своими учетными записями.

Он может автоматически определять, где используются ваши учетные записи служб (будет проверять вашу сеть на предмет использования), а затем эти службы Windows могут быть добавлены в качестве «зависимости» для учетных данных. График истечения может быть установлен (скажем, каждые 30 дней), и тогда он автоматически сгенерирует новый случайный пароль для учетной записи службы AD и изменит все используемые им места (даже остановив и перезапустив службы Windows). Secret Server также поддерживает пользователей пула приложений IIS и запланированные задачи Windows как «зависимости».

Получить бесплатную 30-дневную пробную версию здесь: http://www.thycotic.com

Переключение на Server 2008 R2 повсюду ^^ (хорошо, возможно, нет - но подумал, что я должен упомянуть функции управляемой учетной записи службы и функции виртуальной учетной записи, которые обещают решить эту проблему)

Джоэл,

Мы используем стороннее приложение для управления сменой паролей учетных записей служб. Приложение отслеживает пароли, создает новые и предлагает хранилище, чтобы вы могли получить доступ к паролям, если и когда это необходимо.

Мы стараемся по возможности повторно использовать учетные записи служб, и в рамках процесса создания учетной записи у нас есть форма, которую люди должны заполнить. при отправке формы она сохраняется, а созданная учетная запись сохраняется вместе с формой. Таким образом, если нам нужно знать, кто использует учетную запись или почему она была создана, мы можем провести исследование. мы также следим за тем, чтобы поле менеджера в AD было заполнено правильно, а менеджерам было поручено узнать, за какие учетные записи службы они отвечают.

MSDN будет располагать обширной информацией о минимальных разрешениях, необходимых для общих настроек учетной записи службы. Как всегда, как вы настраиваете эти параметры, зависит от потребностей вашей среды.

Я бы порекомендовал passgen.exe Информация о загрузке здесь Просто ознакомьтесь с сопроводительным документом. Он дает точный сценарий изменения пароля на нескольких компьютерах и позволяет легко сохранять их уникальными и сложными.