我最近偶然发现一个工作站帐户是域管理员组的成员。我认为这是不推荐的,对吧?
尽管如此,我很好奇这种组合的实际效果是什么:登录到这台机器的每个人都会获得域管理员权限吗?还是仅限于本地系统、服务等帐户?换句话说:安全漏洞有多大?
答案1
使用机器帐户运行的服务将获得域管理员权限。登录到该机器的用户将不会继承此类权限。有时,如果某些编写不当的服务由于某种原因无法以用户身份运行,但需要访问整个域,就会这样做。此外,懒惰的管理员也是如此。
作为一个安全漏洞,它并不惊天动地,但应该得到解决。没有理由(除非代码很差劲)这样做。