Учетные записи AD для сервисов и управление ими
 

Добрый день.
Есть сеть предприятия, много серверов, сервисов и служб. При настройке сервиса или какой-нибудь службы системные администраторы настраивают все от своих учетных записей. И конечно никто не документирует, где и как используется его учетная запись. И начинается бардак.

Проблема 1. Сисадмин/прогер уволился - а его учетка вынуждена работать, т.к. к ней привязана куча сервисов или служб. Ее нельзя отключать.
Проблема 2. Пока от его учетки работают сервисы и службы - нельзя сменить пароль, потому что не дай Бог что-то где-то отвалиться. По шапке и по карману получат все сразу.

Вопрос 1. Как можно решить эти проблемы с минимальным риском?
Вопрос 2. Есть возможность создавать учетные записи для сервисов и служб, чтобы по требованиям безопасников периодически менять пароли, не перелопачивая кучу сервисов и меняя пароли там?
Вопрос 3. Где можно почитать про то, как делать это правильно? Поделитесь ссылками, пожалуйста.

Устранить вот эту проблему:
Остальные вопросы отпадут сами по себе.

Лично я использовал такой костыль - создавал одну "общую" учетку setup с юзерскими правами. Затем когда нужно было - давал ей админские права, делал что надо и забирал права назад.

Перейти на использование Managed Service Accounts.
Managed Service Accounts - раздел Password Changes.
Managed Service Accounts.

Charg, да, документировать нужно. Но на практике это всегда трудно реализуемо. Даже если дать всем 3,14здюлей, то хватает обычно на полгода. Тут нужен мотиватор, с помощью которого сисадмин/прогер сам захочет вести документацию и чтобы на это у него уходило минимум времени.

Telepuzik, спасибо, как раз про это начал читать. Я так понимаю, что MSA должен поддерживать софт, для которого я хочу это применить. В общем курить и курить еще.

Мотиватор - зп. Сделал не как сказали, получи штраф.