从服务器本地用户组中删除域用户组是否更安全

Question 1

我不会从成员服务器计算机上的本地“用户”组中删除“DOMAIN\Domain Users”的默认嵌套，除非您完全确定已经完全测试了此更改。对于托管基于 Web 的应用程序的应用程序，您可能没有问题。但是，如果该应用程序对用户进行身份验证并模拟其域帐户，您可能会陷入噩梦般的故障排除世界。不过，只有您自己才知道这一点。

通过执行此操作，您将脱离默认配置，而且我的经验是，Microsoft 通常会根据其产品的默认行为编写文档（并且许多支持资源也会根据默认假设执行故障排除）。

就我个人而言，我认为将“DOMAIN\Domain Users”设为“Users”成员并没有什么坏处。我并不认为这是“安全漏洞”。Microsoft 在 Windows 的最新版本中非常谨慎，以确保“Users”组不具有特权。此成员身份不授予成员远程桌面功能、访问“管理”文件共享的能力、远程访问注册表的能力等。

您有责任测试这样的修改，并确保环境在面对您的更改时正常运行。我认为您最好花时间确保您拥有良好的密码策略、良好的 IDS/IPS 系统、经过良好审核的防火墙规则、良好的补丁应用和验证实践以及 Web 应用程序的漏洞测试。这种组嵌套在我的安全优先级列表中并不高。

Answer

我不会从成员服务器计算机上的本地“用户”组中删除“DOMAIN\Domain Users”的默认嵌套，除非您完全确定已经完全测试了此更改。对于托管基于 Web 的应用程序的应用程序，您可能没有问题。但是，如果该应用程序对用户进行身份验证并模拟其域帐户，您可能会陷入噩梦般的故障排除世界。不过，只有您自己才知道这一点。

通过执行此操作，您将脱离默认配置，而且我的经验是，Microsoft 通常会根据其产品的默认行为编写文档（并且许多支持资源也会根据默认假设执行故障排除）。

就我个人而言，我认为将“DOMAIN\Domain Users”设为“Users”成员并没有什么坏处。我并不认为这是“安全漏洞”。Microsoft 在 Windows 的最新版本中非常谨慎，以确保“Users”组不具有特权。此成员身份不授予成员远程桌面功能、访问“管理”文件共享的能力、远程访问注册表的能力等。

您有责任测试这样的修改，并确保环境在面对您的更改时正常运行。我认为您最好花时间确保您拥有良好的密码策略、良好的 IDS/IPS 系统、经过良好审核的防火墙规则、良好的补丁应用和验证实践以及 Web 应用程序的漏洞测试。这种组嵌套在我的安全优先级列表中并不高。

Question 2

默认情况下，当您将 PC 加入域时，它会将域用户组放入本地用户组中。您可以使用 GPO 删除它...或者，您知道的，将其从组中删除。如果您不希望域用户能够访问此计算机，则没有真正的理由以这种方式设置它。

Answer

默认情况下，当您将 PC 加入域时，它会将域用户组放入本地用户组中。您可以使用 GPO 删除它...或者，您知道的，将其从组中删除。如果您不希望域用户能够访问此计算机，则没有真正的理由以这种方式设置它。

从服务器本地用户组中删除域用户组是否更安全

答案1

答案2

相关内容