我们在 Active Directory 中有 2 个域管理员帐户:“管理员”和“Robocopy”。
Robocopy 是一个与计划任务相关联的服务帐户,该计划任务执行批处理文件 - 运行 Robocopy(在我们的 SBS 2003 文件服务器/域控制器上)。
几年前创建此帐户时,之所以将其设为“域管理员”组的成员,是因为我无法分配非- 使用计划任务中的域管理员帐户在服务器上运行批处理文件。
我现在想尽可能地限制“Robocopy”帐户 - 包括拒绝其网络访问,以便它不能用于登录服务器以外的任何东西。
至少,我希望从“域管理员”组中删除“Robocopy”帐户。
实现这一目标的最佳实践方法是什么?
更新:
这些默认安全组中的任何一个都可以用来实现我想要的效果吗?
答案1
默认域控制器组策略对象 (GPO) 中的安全策略不允许非特权用户以交互方式或以批处理作业(即计划任务的运行方式)登录域控制器 (DC) 计算机。使此帐户非特权(即是一个好主意)将会修改安全策略。
你的cmd.exe权限可能也需要更改,因为非管理员用户被限制在 Windows 2003 中非交互地执行脚本。
处理完这个问题后,您还需要确保正在运行的用户帐户robocopy确实有权读取和写入源位置和目标位置。由于该帐户过去一直享有特权,因此您实际上不必担心这一点。