windows – 我们应该使用哪些用户帐户来处理具有敏感材料的服务

我们希望限制谁有权访问这些计算机,以减少密码意外泄露的风险.为此,我们在Active Directory中创建了一个包含4个人的组,这些人可以访问包含敏感材料的服务器,并确保只有这4个用户可以登录.

其中一些服务器运行计划任务和Windows服务以执行备份/部署.这些任务/服务在特定的“共享”用户帐户下运行,我们称之为“buildacc”.其原因是任务需要访问网络中的共享资源才能执行构建/部署.所以我们也让这个用户访问了服务器.

为了能够修改Windows中的计划任务,所有4个开发人员都需要访问这个“buildacc”帐户,这意味着他们都必须知道共享密码并在更改时通知对方我们不喜欢这个想法的.

我们已经考虑使用个人帐户来运行计划任务,例如构建脚本.我们看到的缺点是团队中的任何成员都可以更改构建脚本并使其在配置实际计划任务的用户帐户下执行新操作.

有关如何处理这种情况的最佳做法吗？