我们的 Active Directory 域包含两个托管服务帐户,MediaAdmin并且ServerAdmin:
我不记得添加过它们,Google 告诉我它们与 Windows Server Essentials 角色相关。它们的 HostComputers 属性是一个空列表,上次登录时间戳是四年多前。这可能是我们停止使用 Server Essentials 功能的时间:
PS> Get-ADServiceAccount -Filter * -Properties lastLogonTimestamp | select name,HostComputers,{[DateTime]::fromFileTime($_.lastLogonTimestamp)}
name HostComputers [DateTime]::fromFileTime($_.lastLogonTimestamp)
---- ------------- -----------------------------------------------
ServerAdmin {} 19.02.2018 15:19:43
MediaAdmin {} 19.02.2018 15:19:44
ServerAdmin 属于域管理员组这一事实让我有点不舒服。删除这些 MSA 是否安全(和/或甚至推荐)?如上所述,我们不再在域中使用 Essentials 角色。
答案1
我对 ServerAdmin 的理解(您应该能够检查这一点)是该帐户是一个组托管服务帐户 (gMSA),应该位于该位置。在 Essentials 中,它需要成为作为服务登录安全策略的一部分,并与 SSL CA 的分发相连。
创建 gMSA 帐户是为了允许服务帐户没有密码,除非是 Kerberos 从 Active Directory 或实际本地服务器(如果它是本地服务帐户)颁发的密码。例如,您无法通过输入密码来模拟托管帐户。除了由服务推送密码(从而防止您在密码过期时按计划更改密码)之外,密码还可以防止用户冒充该身份并使用该(密码)帐户登录服务器。如果删除该帐户,也可以重新创建它。
New-ADServiceAccount -Name ServerAdmin -enabled $True
您应该能够通过“Active Directory 用户和计算机”检查它是否是托管服务帐户。如果是托管帐户,它将列在“托管服务帐户”下。
风险在于使用此帐户运行可被未经授权的用户操纵的服务。例如,SQL Server 默认在本地托管服务帐户下运行,但可以(并且应该)转移到 gMSA。也就是说,让 SQL Server 在域管理员帐户下运行并不明智,因为有许多注册表操作可以通过 SQL Server 完成,而您不希望 DBA 管理这些操作。通过关联,SQL 的更好的 gMSA 是具有最低 ACL 权限的 gMSA。