我正在为要迁移到的新域构建组策略。在我们当前的环境中,设置作为服务登录设置为服务器OU 级别 - 该领域中有大约一百个服务帐户有权访问此权利。
我想将它设置在 OU 树结构的较低位置(我们根据服务器运行的应用程序将其分开),但我们的一些内部员工根本不想设置此策略。例如:不检查组策略中的设置,让本地服务器处理将哪些帐户放入其本地策略中以进行此设置。我们的内部安全团队希望像我一样设置它,但不希望设置它的几个人包括一位架构师 - 因此发生了冲突。
我咨询过 Microsoft Premier Support(他们没有给我正式答复)、内部员工、外部 IT 朋友,也进行了数小时的互联网研究,但我找不到任何关于是否应该设置此策略的信息。我的直觉是通过 GPO 来管理它,这样就可以从一个地方轻松审核和管理它(我们公司不时会经历各种外部审核)。
Microsoft 资源页面:https://technet.microsoft.com/en-us/library/dn221981.aspx是我能找到的唯一信息,但它说尽量减少被授予此用户权限的帐户数量。这对我来说似乎有点模棱两可……
有人能告诉我他们对这些设置有何看法吗?
答案1
您链接的文章解释什么权利作为服务登录提供:
作为服务登录用户权限允许帐户启动网络服务或在计算机上持续运行的服务,即使没有人登录到控制台。
简而言之,您只想向需要它的帐户提供此权利 - 默认情况下,即本地系统、本地服务和网络服务帐户,因为这些是服务默认运行的帐户。
如果你希望在不同的安全上下文中运行服务(例如您创建的服务帐户),您可能希望授予该服务帐户作为服务登录权限,以便它可以运行您的服务而无需用户登录。您链接的文章提供了 IIS 和 ASP.NET 作为示例,其中授予了其他帐户此权限;它也适用于作为服务运行的第三方程序。
如果你不想以 SYSTEM 或 NetworkService 身份运行每个服务,你可以为各个服务设置服务账户,并为其分配作为服务登录对。以这种方式使用服务帐户的主要优点是,如果您的服务受到威胁,它将在运行它的帐户的安全上下文中运行,而不是在 SYSTEM 和 NetworkService 所具有的 SYSTEM 级安全上下文中运行。
因此,最佳做法是仅将此权限分配给服务运行的帐户,并在根据以下配置的服务帐户下运行单个服务:最小特权原则(只授予他们运行所需的权限;不要授予他们管理员或系统权限)。我想补充一点,通过 GPO 控制是更安全的方法。如果它在每台服务器上本地控制,那么任何在服务器上获得管理权限的人都可以控制哪些帐户可以在该服务器上运行服务,而通过 GPO 强制执行它需要在域级别获得适当的域权限。
答案2
“此用户权限在默认域控制器组策略对象 (GPO) 以及工作站和服务器的本地安全策略中定义。默认情况下,没有帐户具有作为服务登录的权限。”
https://technet.microsoft.com/en-us/library/cc957141.aspx
不在该列表中的帐户将无法作为服务登录,因此,如果清除列表,则使用服务帐户的服务将无法再启动。
我倾向于创建一个服务帐户组并将其放入策略中。这减少了我需要更改策略本身的次数。而且,正如您所说,这比让它在服务器上设置更容易审核。