借助 Microsoft 安全公告MS14-025,GPMC 和相关工具现已修补,不再允许在组策略首选项中使用嵌入模糊密码的配置项。公告引用KB256345作为解决方法,使用“传统”方法使用组策略配置 Windows 服务。但据我所知,该方法仅允许您在服务(及其启动类型)上设置安全 ACL...而不是服务运行时的帐户。不过,我很乐意被证明是错的。
还有哪些其他方法可以使用组策略将服务配置为以特定域服务帐户运行?我们不能只是手动接触所有这些机器来配置服务。假设我们没有其他基于 Windows 的配置管理工具可用,我们只能使用组策略和任何其他可用的内置工具,如 Powershell。
目前,在我们的环境中,我们只是在 WSUS 中阻止了该补丁。但我正在寻找一个长期解决方案。我们以这种方式配置的密码都是低权限帐户,即使密码被泄露也无济于事。
是否有一种利用托管服务帐户的解决方案?我们是否应该想出某种在启动时运行的基于 powershell 的解决方案?我们使用的 GPO 适用于并非全部安装该服务的计算机组。因此,理想情况下,此解决方案不会开始向事件日志发送组策略错误