我目前正在根据 MS 安全合规性管理器检查我工作中的默认域控制器策略 GPO,我发现很多东西的用户权限分配并未出现在合规性基准中。其中很多东西看起来是机器帐户,例如:
- 域名\IWAM_[服务器名称]
- 域\SQLServer2005MSSQLUser$[服务器名称]微软##SSEE
- 域\IUSR_[服务器名称]
我是否应该听从合规经理的建议并将其删除,或者相信 Windows 知道它在做什么并让它们独自呆着?
答案1
或者,本知道这些帐户的用途,但他决定不列出这些信息,因为他认为这里的每个人都知道这一点,而花时间列出这些信息是毫无意义的。
“将它们移至新服务器(当然,DNS除外)”
为什么是“当然”?是的,DNS 可以位于您的域控制器上,但这不是必须的,并且有些环境将它们分开是有意义的(有时甚至在 Windows 上也不行)。
我同意,一般来说,作为最佳实践,SQL Embedded、IIS 等不应该属于域控制器,但是它们可能因为站点特定的原因而存在于域控制器中。
对于本的问题,最简单的答案就是实际回答他所问的问题,而不是假设一堆在他的特定情况下可能真实或不相关的事情,并发布法令采取行动,而这些行动实际上可能会使他的问题变得更糟,而不是更好。
答案2
这些是众所周知的服务(IIS 和 SQL)的众所周知的系统帐户,而令人担忧的是,您的第一个想法是询问是否要删除它们,而不是找出它们在您的环境中的用途。
以下是关于 IIS 使用 ISUR 和 IWAM 的合理答案以及 SQL 帐户……谁知道呢。SSEE 代表 SQL Server Embedded Edition,我在一些基本的 SharePoint 安装中看到过这个,所以可能是这个,也可能是其他的。(SharePoint 会同时考虑 IIS 和 SQL,不管它值不值……尽管域控制器上的 SharePoint 很恶心。)
但是,无论哪种方式,重要的是,您不要在不知道它是什么以及它做什么的情况下开始摆弄东西。将您的服务器想象成一辆汽车。您根据一份关于更换机油的文档打开了引擎盖,看到了三件您不熟悉的东西。您只是把它们拉出来看看会发生什么/希望得到最好的结果吗?
您真正应该做的是弄清楚域控制器上运行的所有服务,将它们移动到新服务器(当然,DNS除外),完成此操作并验证这些帐户不再被访问后,您就可以安全地将它们从域控制器中删除。