在Active Directory中区分用户和服务帐户

题

是否有一个“正确” /标准来区分的方式Service Accounts从User Accounts公元？

更多信息

在某些情况下，我们的系统在AD凭据下（即在服务帐户下）运行。这些服务帐户的创建方式与用户帐户完全相同；唯一的区别是名称和描述。已经做了一些事情来区分这两种帐户类型（例如，帐户所在的OU，是否启用了“密码永不过期”，如果说明中包含“服务帐户”），但是没有一个规则可以可以应用于一切，以清楚地区分两者。

展望未来，我们正在努力改善这种/春季清洁的东西，以使其与众不同。为此，我们可能会同时使用OU和Description字段。

在执行此操作之前，我想检查一下；是应该这样做的一种方式；例如，一些专门用于此目的的属性（可能是objectCategory值不同于Person？），还是公认的标准命名约定，或者每个公司是否都制定了自己的方法？

我还没有看到任何可以解释为“官方”标准的东西。我通常所做的是使用标准的命名前缀以及将其保留在OU中。您也可以使用“描述”字段或“部门”字段进行简单的排序/选择。

没有针对此问题的“官方”解决方案，也没有旨在传达“这是服务帐户”的任何特定AD属性。各地使用各种技术，其中可能包括OU，组，描述，名称前缀等。但这实际上只是外观上的区别：服务帐户与用户帐户是完全相同的对象。

Microsoft Active Directory使用objectCategory属性，就像编程语言可能会定义“类”一样。默认情况下，用户具有“ objectCategory = CN = Person，CN = Schema，CN = Configuration，DC = mydomain，dc = com”。您可以使用另一个DN（例如account或posixAccount）覆盖它。