我刚刚从前一位员工手中临时接管了 Windows 2008 Web 服务器的管理。我需要尽快更改管理员密码,但我注意到相当多的服务也在此帐户下运行。因此:
- 有没有一种快速的方法可以找出哪些服务会受到我更改密码的影响,还是需要逐一列出列表?
- 我觉得以这种方式使用管理员帐户是不对的;我应该为这些服务创建一个不同的帐户,还是使用管理员帐户是标准做法?
- 我知道每个人的服务器/网络设置不同,但是在更改管理员密码时我还应该注意其他事项吗?
谢谢
答案1
1) 您必须滚动列表,但您可以按“以...身份登录”列对其进行排序,这样您就可以快速找到哪些用户正在使用除 LocalSystem、LocalService 和 NetworkService 以外的其他帐户。
2)这绝对是不是最佳实践,所以,是的,您应该更改这些用户帐户;但在执行此操作之前,您应该检查这些服务实际上需要哪些访问权限才能正常工作。如果您要使用自定义用户帐户(即不是 LocalSystem、LocalService 或 NetworkService 之一),您至少必须授予它“作为服务登录”权限。
3) 您应该检查该服务器上的计划任务,并检查是否有其他应用程序使用管理员帐户通过网络连接到该服务器。作为 Web 服务器,我还会检查 IIS 中的应用程序池标识,尽管以管理员身份运行它们非常不明智;但对于服务也是如此,所以...
答案2
我可能错了,但我认为只要用户登录,服务就会启动,而不管管理员帐户的密码是什么。话虽如此,如果他们需要通过代理服务器访问,那么您可能会发现他们开始抛出连接错误或登录对话框。我认为最好限制在管理员级别运行的进程和服务的数量,纯粹是为了限制如果有人能够控制它,可能会发生的损害。例如,我们有几个系统需要通过代理服务器访问,并且为此目的设置了一个低级用户帐户。这个帐户经过严格审核,因此可以快速发现任何偏离正常行为的行为。
尽管如此,如果您知道您所指的管理员帐户是域管理员帐户还是服务器的本地管理员帐户,以及它们如何组合在一起,那就太好了。