什么是依赖账户?

依赖帐户是代表从目标计算机访问的资源(例如Windows Services或Windows计划任务)的帐户,并要求与目标计算机相同的凭据。依赖账户也可能被称为 用法 或者 服务账户.




更改密码时, CPM 将目标帐户密码与相关的依赖帐户中的所有其他密码发生同步。支持以下依赖帐户:
  • 视窗服务
视窗 IIS目录安全性(匿名访问)
  • 视窗计划任务
配置文件
  • 视窗注册表
数据库字符串
  • 视窗 IIS应用程序池
Web应用程序帐户
  • 视窗 COM +应用程序
私人SSH键
这是 Cyber​​ Ark Doc.'CPM管理服务帐户流程:

创建依赖帐户


创建目标帐户后,您可以为其创建相关的依赖帐户。

创建依赖帐户:
  1. 在里面 Pvwa.,在这方面 账户 页面,选择要添加依赖帐户的目标帐户。
  2. 在这一点 帐户详细资料 页面,在右窗格中,选择相关的依赖项类型,然后单击 添加.
有以下服务选项卡可用于添加依赖帐户:
  • 视窗服务
  • 预定的任务
  • IIS应用程序池
  • 视窗注册表
  • COM +应用程序
  • IIS匿名用户





  1. 在这一点 添加依赖帐户 页面,输入所需信息,然后单击 保存.

CPM如何管理服务帐户

这是一个很好的解释 reddit. 他们正在谈论过程CPM更改服务/依赖帐户的工作原理。我发现它是有帮助的,并在这里复制我参考。 
Cyber​​ Ark有两个主要产品用于服务型账户(如果我们分别考虑漫画,也许是三个。) - “推送”和“拉”密码选项。
  •   - 在框中,Cyber​​Ark可以使用CPM连接到目标计算机,并更新某些类型的服务帐户上的密码。例如:Windows计划任务(在更改后可以重新启动),Windows服务,文本文件,注册表文件,IIS应用程序。这里有一定的限制和风险。
    • 例如,如果我记得正确,你只能每一个托管账户拥有100个这些“用法”。
    • CPM需要时间到达运行此类服务的每个目标机器,一次类似于3的目标机器,因此有可能被锁定的可能性,或者服务可能会失败。
    • 您基本上希望为非关键服务帐户使用此功能,或者至少为服务帐户定义中更新密码更新的快速提供一些公差的服务帐户。
  •  如果您拥有某些业务系统,则拥有以Cyber​​Ark Vault(Cyber​​ Ark Vault)建立的特定应用程序,或您可以更新的自定义应用程序,或可以使用SOAP调用获取密码的应用程序,然后您可以使用Cyber​​Ark“Pull”机制  密码直接从保险库中分组为“AIM”。在大多数情况下,它需要每个设备需要单独的许可,需要这些密码,您可以在这些设备上安装Cyber​​ark服务可以直接通信给Vault,或者实现可以为密码询问CCP(中央凭证提供商)的代码,每当服务需要它时。这里的好处是每个服务独立运行,并且它们都可以同时更新。
现在要回答您关于登录帐户的其他问题。在“推送”机制的情况下,如果您需要更改实际密码,但帐户无法更改它自己的密码,则需要一个核对帐户。如果需要在目标服务上更新新密码(例如在Windows计划任务)上,但该帐户没有登录系统并执行此操作的权限,然后需要登录帐户。

经过 Netsec.

发表评论