我在一个有10个开发人员的团队中工作.我们设置了服务器,可以执行备份,自动构建软件,自动部署等等.其中一些服务器包含辅助材料,例如生产系统的登录详细信息(自动部署所需).
我们希望限制谁有权访问这些计算机,以减少密码意外泄露的风险.为此,我们在Active Directory中创建了一个包含4个人的组,这些人可以访问包含敏感材料的服务器,并确保只有这4个用户可以登录.
其中一些服务器运行计划任务和Windows服务以执行备份/部署.这些任务/服务在特定的“共享”用户帐户下运行,我们称之为“buildacc”.其原因是任务需要访问网络中的共享资源才能执行构建/部署.所以我们也让这个用户访问了服务器.
为了能够修改Windows中的计划任务,所有4个开发人员都需要访问这个“buildacc”帐户,这意味着他们都必须知道共享密码并在更改时通知对方我们不喜欢这个想法的.
我们已经考虑使用个人帐户来运行计划任务,例如构建脚本.我们看到的缺点是团队中的任何成员都可以更改构建脚本并使其在配置实际计划任务的用户帐户下执行新操作.
有关如何处理这种情况的最佳做法吗?
假设您使用的是Windows 2008R2系统和2008R2 AD,则可以使用托管服务帐户.
This technet blog entry对如何使用托管服务帐户进行了很好的总结,但以下是基本原则:
托管服务帐户是一个与计算机紧密相关且具有自动管理密码的AD帐户.您没有创建密码,没有人需要知道它,但由于它是一个AD帐户,您可以将其用于网络ACL,这使其非常适合您的方案.
但是,将MSA用于计划任务将要求您使用命令行来创建任务(有关详细信息,请参阅this和this主题).