我必须为应用程序设置用户帐户,以便从我们的域中获取用户和组成员身份列表。因此,我希望这些应用程序使用对我的网络具有最低限度访问权限的用户帐户的凭据。
我所做的是创建无法更改密码的基本用户,组成员身份是“域用户”,并且我将密码设置为随机生成的长密码。
是否有特定的内置安全组可供我使用?是否有其他更安全的方法来创建用户并授予他们这种访问权限?
非常感谢您的帮助!
答案1
由于您没有提到任何限制,例如帐户只能读取目录的部分内容,我认为没有必要过多考虑这一点。“域用户”默认组已经拥有最低限度的权限。但它有权从目录中读取用户、组和计算机对象,这正是您想要做的。
我会创建一个名为“服务帐户”或类似名称的组,并将您的特殊用户添加到该组。然后,我会修改域级 GPO,为服务帐户组设置“拒绝本地登录”和“拒绝通过远程桌面登录”设置。
即使有人确实破解了该帐户,他们也无法使用该帐户以交互方式登录到任何域计算机,也没有足够的权限使用网络登录执行任何有用的操作。