Windows基础设施密码管理

大多数IT环境中，Windows服务器和Windows系统都是基础设施中不可或缺的一部分。本地、域和服务账号是访问Windows基础设施的关键方式。因此，对任何组织来说，违反这些高特权账号都会造成巨大的损失。

• 本地管理员账号: 本地管理员账号指员工服务器和客户机上的功能强大的账号，它们可授权对主机的绝对控制权。如果本地管理员密码很弱、长时间使用同一个密码或在多个账号上重复使用，黑客就有机会对工作站进行未经授权的访问。最坏的情况下，访问本地管理账号的黑客还可以无限制的访问网络，甚至将权限提升到域管理员。

• 域管理员账号：域管理员账号对域内的一切事物具有控制权限，他们可以提供管理员对于所有工作站、服务器以及域控制器的特权。只有极少一部分可信度高的管理员能够使用域管理员账号。并且，他们只能使用域管理员账号登录到（安全性和域控制器一样的）域控制器系统。由于Windows系统易被攻击，它的单点登录功能允许用户输入一次凭证后就可以无限制的登录。实际上，Windows已将该登录信息保存在系统里，如果黑客企图访问一个域管理员之前输入过凭证的系统，那么便可以轻而易举的获取这个凭证（密码）进行非法交易。
  
  

  最佳的办法就是，域管理员账号只能用于登录域控制器。特殊情况下，如果必须使用域管理员账号登录其他系统，那么，该密码应采用“一次性使用”工作流，即使用一次后重置密码。即便对于可信度很高的系统，也要定期重置密码。

• 服务账号: 服务账号是系统程序用来运行应用程序软件服务或流程的功能强大的账号。这些账号通常拥有高权限，甚至是过度权限。因为很难发现所有依赖于服务账号的服务，从而很难传播密码变更，所以，服务账号密码通常被设置为“永不改变”。这种静态服务账号使得企业成为黑客们的攻击对象。

围绕这些特权账号实施适当的控制和其他标准安全实践，可以帮助减少漏洞、阻止恶意攻击。

轻松定位、管理Windows基础设施中的特权账号

想要有效地管理Windows基础设施的密码，就要识别、合并网络上的各种特权账号。Password Manager Pro的发现功能有助于检测本地管理和域管理账号 ，并自动将它们放入目录中。同时，它还通过标识使用域账号运行的各种Windows服务器组件，并将服务和计划任务映射到各自的账号，从而帮助定位服务账号。

定期重置密码保护您的Windows账号凭据

安全的最佳实践要求定期或在每次使用之后(请求-发布)重置Windows基础设施上的特权账号。定期更改Windows资源的密码还可以确保企业法规合规性。

手动重置所有系统的密码非常麻烦，所以，自动的密码重置系统就很必要了。使用Password Manager Pro，可以通过计划重置任务，实现本地和域管理密码(包括服务账号密码)周期性重置。为了进一步提高安全性，还可以使用访问控制工作流，即使是授权的管理员使用一次后也可以即时重置密码。

当重置服务账号密码时，Password Manager Pro会自动将重置的密码繁殖到与该账号关联的所有服务上，保证一切服务正常运行。

通过自动服务重启实现完整的管理流程

当重置服务账号密码时，与其相关联的Windows服务器通常需要重新启动才能使密码变更生效。Password Manager Pro使用可执行的自定义脚本帮助自动重启过程，以确保相关的服务账号的所有应用程序和任务同步更新。