问AD只读帐户(用于身份验证)

EN

首先，当您说40个管理级帐户时，我将假定您指的是域管理。这类账户中有40个是危险的，原因很多，我相信你已经猜到了。我建议的第一件事是打开Active中的域管理、企业管理和架构管理组。打开这些组可以让您选择一个名为Members的选项卡，以真正查看每个组中有多少人。我命名的三个(域管理、企业管理和模式管理)是最重要的，允许对您的域/森林拥有最多的控制权，因此您希望确保只有您作为sysadmin，或者是其他几个管理员，或者您信任的管理员，才具有这些权限。我只想说你，但我知道有时候你必须让其他人获得这些权利；很少，但它确实发生了。以下是供参考的域管理属性的屏幕截图：

接下来你要做的事情，因为你需要一个或多个帐户，这些第三方应用程序通信/认证通过AD将是创建一个MSA，或托管服务帐户。我已经使用了这些帐户，我可以说，我认为，当它归结起来，他们是优于仅仅使用一个正常的用户帐户在AD。避免给予任何非管理员用户/帐户的管理权，不惜一切代价。

我喜欢并已经做的是在ADUC中为这些服务帐户创建一个新的OU，这样就可以轻松地管理这些帐户，并且可以在需要时更容易地应用GPO(组策略对象，如果您不知道是管理大量计算机/用户的方法)。

您可以通过Windows PowerShell创建和管理这些PowerShell，但要确保至少在第2版的PowerShell上。创建这些帐户之一的命令是ADComputerServiceAccount。您想要创建这个用户的任何其他选项都可以找到这里。

MSA的另一个好处是，您可以创建所谓的服务管理员(实际上是在AD中拥有管理这些MSA帐户的权限的人)，他们可以对这些帐户进行委托控制。这可能对您有好处，因为这个人不需要拥有域管理权限，而且从长远来看，可以节省您的时间，因为他们能够管理MSA帐户，这使您有更多的时间用于更重要的sysadmin内容。

有关MSA的最佳实践的列表，请直接从团队获得这个职位。

只需创建一个作为域用户组成员的用户帐户。该帐户对目录中的其他对象没有任何写权限，但它本身除外。

如果您需要更多的预支服务帐户，Windows2008Windows2008 R2有一些叫做托管服务帐户的东西。我从来没有用过它们，但是看看它们也不会有什么害处：

http://technet.microsoft.com/en-us/library/dd560633%28v=ws.10%29.aspx

http://technet.microsoft.com/en-us/library/dd548356%28v=ws.10%29.aspx

希望它有帮助;)