我们有一个 Windows 服务,目前以 LOCAL_SYSTEM 的身份运行 - 实际上是本地管理员。该服务的功能之一是配置新的本地帐户并将其添加到特定组。以下操作可行吗?
- 为服务帐户使用特定的用户帐户/组并分配权限,以便它可以创建新帐户。
- 限制服务,使其只能创建具有有限权限的用户。例如,服务提供的帐户没有交互式登录,并且是特定组的成员。
- 使用 PowerShell 进行配置。
我以为可以通过本地安全策略实现这一点,但似乎并非如此。将服务帐户添加到管理员可以工作,但无法帮助我降低服务帐户的权限。
这样做的目的是,如果服务以某种方式遭到黑客攻击,我们可以限制损失——黑客只能创建权限低于服务帐户的帐户。
请注意,这与本地帐户有关,而不是域帐户。
答案1
你可以使用 Powershell 的JEA 角色功能JEA Role Capabilities并创建一项功能,允许本地帐户仅使用与本地用户管理(New-LocalUser、Add-LocalGroupMember)相关的命令,并以仅接受低权限组作为参数的方式限制允许的参数。
这应该可以帮助你入门: