服务帐户的最佳做法是什么？

我们正在使用共享域帐户在公司中运行多项服务。不幸的是，该帐户的凭据被广泛分发，并且经常用于服务和非服务目的。这导致了一种情况，由于该共享帐户被锁定，服务可能会暂时关闭。

显然，这种情况需要改变。计划是将服务更改为在新帐户下运行，但是我认为这还远远不够，因为该帐户受相同的锁定策略约束。

我的问题是：我们是否应该以与其他域帐户不同的方式设置服务帐户，如果要设置，则如何管理这些帐户。请记住，我们正在运行2003域，并且在短期内升级域控制器不是可行的解决方案。

一些想法：

• 每个服务一个帐户，或者取决于您的环境，每个服务类型一个帐户。

• 帐户应为域帐户。

• 帐户应具有不会过期的强密码*。理想情况下，生成一个随机密码并在某处进行记录（KeePass对此很有用），这使人们难以使用它来登录。说到...

• ...（通常）该帐户应是没有交互登录权限的组的成员。可以通过组策略来控制。

• 请记住最小特权原则。帐户应该拥有完成工作所需的权利，仅此而已。如gravyface所指出的那样，请尽可能使用内置帐户。Local Service当不需要网络访问时。Network Service在访问网络时，由于计算机帐户将足够安全，因此请避免使用该Local System帐户。

*除非您的公司安全策略与此不兼容，但从实际情况看，它可能是:-)