与后台服务共享凭据时的潜在安全含义

与后台服务共享凭据后,该凭据对所有其他使用 Security Controls 服务组件的管理员可用。 例如,假设管理员 A 创建一个凭据,将其启用以与后台服务共享,然后将其分配给代理服务。 管理员 B 现在可以随意将同一凭据分配给程序的其他服务区域。

因此:

  • 仅在 Security Controls 服务组件需要的凭据上启用与后台服务共享。
  • 请勿在允许访问组织的安全区域的凭据上启用与后台服务共享。

建议创建服务帐户(而不是使用域管理员帐户)来执行后台服务功能。

除了显式指定的凭据之外,Security Controls 还支持 Kerberos 身份验证以进行后台服务与各种资源的交互。 在不需要或不可能创建服务帐户的情况下,通过向Domain\Machine$帐户授予权限,可提供对网络共享和分发服务器的访问。

此外,可以随时更新共享服务凭据。 这使得密码更新维护变得容易。