向域控制器上的虚拟服务帐户授予权限

向域控制器上的虚拟服务帐户授予权限

我正在实现的服务将在域控制器上运行,所以我希望它具有最小权限。理想情况下,它只是作为本地服务运行。但是,它需要能够:

  • 监视性能计数器(成为性能监视用户的成员)
  • 管理性能计数器、日志和警报(成为性能日志用户的成员)
  • 读取事件日志(成为事件日志读取器的成员)

将本地服务添加到这些组显然不是一个好方法。以为其生成的虚拟服务帐户运行服务将允许它以计算机的身份访问网络,这也是不可取的。所以我想以非零 SID 类型将其作为本地服务运行,从而将赋予 VSA 的特权转交给它。

我无法将服务的 VSA 添加到上述组中。我怀疑这是因为 VSA 是本地的(并且仅存在于域控制器内),而组是域组。是否可以?

组管理服务帐户可能会被证明是有用的(取代 VSA),但它们需要手动创建。

当部署没有先决条件(没有创建 GMSA)时,设置仅使用指定权限运行的服务的正确方法是什么?

我们也欢迎针对特定群体提供具体答案。

答案1

在域控制器上,您没有“本地帐户”数据库,也没有本地服务器组。

本地组称为“域本地”,可以在域中的任何地方使用(符合域中关于组如何嵌套的规则)。AD 是 DC 的“本地帐户数据库”。

最好的解决方案是不是在 DC 本身上运行它。DC 上的 SYSTEM 上下文对 AD 中的所有内容具有完全访问权限。这可能是一个即将发生的安全漏洞。

相关内容