组织需要多位管理员担任安全审计员的角色。他们必须具有对 Windows Server 2008 / R2 系统的只读(通过网络/远程)访问权限,并有权查看服务器配置。他们不得对服务器或网络进行任何其他更改,例如重新启动或进行任何配置更改。
但是我找不到任何针对此类用户的内置设置。最接近的是“用户”用户组 [1],但据我了解每一个域中的用户属于该组,不能查看域服务器的配置。
那么,在 Windows Server 2008 中实现只读用户帐户还有哪些其他选项?
答案1
不,这不合理。从技术上讲,创建一个拥有所有内容的只读权限的帐户是可行的,但这将是一项艰巨的任务,而且据我所知,目前还没有这样的事情。
问题是,默认情况下,您要查看的大多数“配置”设置只有管理员用户才能访问,管理员用户也可以修改这些设置。因此,要创建可以访问所有内容的只读用户,您基本上需要修改所有内容(文件系统、注册表、应用程序权限),以便为给定用户添加只读访问权限。
像世界其他地方一样,让审计员在必要时向管理员请求信息,同时审计员观察管理员检索所需信息。
答案2
今后,您的审计员应该使用 Varonis 之类的系统来跟踪系统变化。然后他们有自己的审讯工具,只有他们才能登录,它会为他们提供此类信息。
更改文件系统、注册表等权限可能会导致将来出现权限问题。
安东尼