Отдельная головная боль любой инфраструктуры — сервисные учётные записи.
Часто создаётся обычная доменная учётка, ей назначается пароль без срока действия, а затем под ней запускают несколько служб, заданий и приложений. Через несколько лет уже никто точно не знает, где она используется, кто знает её пароль и что перестанет работать после его замены.
У каждого самостоятельного сервиса должна быть собственная учётная запись. Это позволяет выдать только необходимые права, нормально контролировать её действия и ограничить последствия компрометации.
Но это не означает, что для каждой службы нужно вручную менять пароль.
Если сервису нужен доступ к ресурсам домена, в Windows-инфраструктуре лучше использовать gMSA.… Читать далее…
