The*_*Woo 8 security windows group-policy
我正在为我们要迁移到的新域构建组策略。在我们当前的环境中,“作为服务登录”的设置是在服务器OU 级别设置的 - 在该字段中有大约一百个服务帐户可以访问此权限。
我想在我们的 OU 树结构下设置这个(我们根据它们运行的应用程序分离服务器),但是我们的一些内部员工根本不想设置这个策略。IE:不检查组策略中的设置,让本地服务器处理将哪些帐户放入其本地策略中。我们的内部安全团队希望像我一样设置它,但是不想设置它的几个人包括一名架构师 - 因此发生了冲突。
我咨询了 Microsoft Premier Support(他们没有为我提供正式答复)、内部员工、外部 IT 朋友员工和互联网研究时间 - 但我找不到关于是否应该设置此政策的任何信息。我的直觉是通过 GPO 管理它,以便可以从一个地方轻松审核和管理它(我们公司不时进行各种外部审核)。
Microsoft 资源页面:https : //technet.microsoft.com/en-us/library/dn221981.aspx是我能找到的关于它的唯一信息,但它说要尽量减少授予此用户权限的帐户数量. 这对我来说似乎有点模棱两可...
有人可以告诉我他们对这个设置的看法吗?
您链接的文章解释了“作为服务登录”提供的权限:
作为服务用户权限登录允许帐户启动网络服务或在计算机上连续运行的服务,即使没有人登录到控制台也是如此。
简而言之,您只想向需要它的帐户提供此权限 - 默认情况下,即本地系统、本地服务和网络服务帐户,因为这些是默认情况下运行的服务。
如果您希望在不同的安全上下文下运行服务(例如您创建的服务帐户),您需要授予该服务帐户“作为服务登录”权限,以便它可以运行您的服务,而无需用户登录您链接的文章提供了 IIS 和 ASP.NET 作为示例,其中其他帐户被授予此权利;它也适用于作为服务运行的第三方程序。
如果您不希望将每个服务都作为 SYSTEM 或 NetworkService 运行,则可以为各个服务设置服务帐户,并为其分配“作为服务登录”权限。以这种方式使用服务帐户的主要优点是,如果您的服务受到威胁,它会在运行它的帐户的安全上下文下运行,而不是在 SYSTEM 和 NetworkService 具有的系统级安全上下文下运行。
因此,最佳实践是仅将此权限分配给运行服务的帐户,并在根据最小权限原则配置的服务帐户下运行各个服务(只授予它们运行所需的权限;不授予它们管理员或系统权限)。我想补充一点,通过 GPO 进行控制是更安全的方法。如果它在每台服务器上进行本地控制,则任何在服务器上获得管理权限的人都可以控制哪些帐户可以在该服务器上运行服务,而通过 GPO 强制执行需要在域级别获取适当的域权限。