我正在努力尝试删除 Active Directory 和 Windows(服务器和桌面)环境中尽可能多的特权过高的帐户/角色。这意味着从本地管理员和域管理员角色中退出尽可能多的用户。(这包括我们自己的安全团队)。
与许多被迫遵守外部法规的组织一样,我们必须保持职责分离。
在 Windows 中,我最想拥有的一种内置角色是“只读本地管理员”或“审核员”角色。有多种类型的用户应该有权检查所有设置、所有文件系统,并运行所有不会更改系统的标准工具。举两个例子——我们的安全团队和审核员,他们通常需要不受阻碍的访问权限来进行检查,而不能(偶然或有意)更改设置。它可能对那些愚蠢地“需要”管理员权限的工具和服务帐户很有用,迫使我们研究所需的“真正”设置。
这些用户需要能够独立于运营团队行事,并且不依赖他们或其他人来收集有关操作系统级别的所有系统设置的信息。
简而言之 —— 我不知道内置了什么类似的东西。我在这里寻找资源——例如,Powershell 脚本,我们可以在服务器上运行它作为基准,以尽可能预先建立上述功能。
即使是建议设置或操作方法的源列表也会很有用。我有很多想法(磁盘上的 ACLS、注册表、共享)、GPO 等。
顺便说一下,我确实看到了这个问题: 是否可以出于安全审计目的创建只读用户帐户?。
我希望我的帖子足够清晰,有足够的解释力,能够吸引更多的回应。