什么是附属帐户?

依赖帐户是代表从目标计算机访问的资源(例如Windows服务或Windows计划任务)的帐户,它们需要与目标计算机相同的凭据。受抚养人账户也可以称为 用法 要么  服务账户.




更改密码时, 每千次展示费用 将目标帐户密码与相关附属帐户中该密码的所有其他出现次数同步。支持以下从属帐户:
  • 视窗服务
视窗 IIS目录安全性(匿名访问)
  • 视窗计划任务
配置文件
  • 视窗注册表
数据库字符串
  • 视窗 IIS应用程序池
Web应用程序帐户
  • 视窗 COM +应用程序
私人SSH Keys
这是 Cyber​​Ark Doc‘s 每千次展示费用 Managing Service Account flow:

创建一个附属账户


创建目标帐户后,可以为其创建相关的从属帐户。

创建一个附属账户:
  1. 在里面 PVWA,在 帐目 页上,选择要向其添加从属帐户的目标帐户。
  2. 在 帐户详细资料 在右窗格中的页面,选择相关的依赖项类型,然后单击 .
有以下服务选项卡可用于添加从属帐户:
  • 视窗服务
  • 计划任务
  • IIS应用程序池
  • 视窗注册表
  • COM +应用
  • IIS匿名用户





  1. 在 添加附属账户 页,输入所需的信息,然后单击 .

How 每千次展示费用 Managing Service 帐目

这是从中找到的很好的解释 Reddit which they are talking about how the process 每千次展示费用 更改服务/相关帐户。我发现它很有帮助,并在此处复制以供参考。 
Cyber​​Ark为服务型帐户提供了两种主要产品(如果我们分别考虑使用Conjur,则可能是三类)–“推”和“拉”密码选项。
  •  – Out of the box, 赛博方舟 can use the 每千次展示费用 to connect to target machines, and update the passwords 上 certain types of 服务账户. For example: 视窗计划任务 (which it can restart after the change), 视窗服务, text files, registry files, IIS app users. There are certain limitations here, and risks.
    • 例如,如果我没记错的话,每个客户帐户只能有100种“用途”。
    • It takes time for the 每千次展示费用 to reach out to each target machine running such a service, something like 3 at a time, so there is a possibility that accounts can get locked, 要么 services can fail.
    • 您基本上想将其用于非关键服务帐户,或者至少要对在服务帐户的定义中密码更新速度有一定容忍度的服务帐户使用此功能。
  •  如果您具有某些业务系统,为与Cyber​​Ark保管库一起使用而构建的特定应用程序,可以更新的自定义应用程序或可以使用SOAP调用获取密码的应用程序,则可以使用Cyber​​Ark“拉”机制进行操作  直接从保管库输入的密码,这些密码一起分组为“ AIM”。在大多数情况下,每个需要这些密码的设备都需要单独的许可证,并且您可以在这些设备上安装Cyber​​Ark服务以直接与保险柜通信,或者实施可以查询CCP(中央凭据提供程序)的代码,只要服务需要它。这样做的好处是每个服务独立运行,并且可以同时更新它们。
现在回答有关登录帐户的其他问题。对于“推送”机制,如果您需要更改实际密码,但是该帐户无法更改其自己的密码,则需要一个协调帐户。如果您需要在目标服务(例如Windows计划任务)上更新新密码,但是该帐户无权登录并执行该系统,则需要一个登录帐户。

通过 网络安全

发表评论