service-accounts
查找以 Active Directory 用户帐户运行的服务
我所在组织的密码策略要求定期更新/更改两个帐户的密码。 有没有办法确定某个特定 AD 用户帐户的使用位置?我想确定在更改帐户密码之前活动目录中会出现什么问题。 ...
service-accounts
service-accounts
BITS http 下载作业无法连接所有者本地系统帐户
我编写的服务使用BITS(后台智能传输服务)自动更新在某些机器上存在问题(目前是 Windows 7)。 我一直在调查,发现我的服务添加到位队列中的某些作业立即失败,错误代码为 0x80072efd(无法与此服务器建立连接)。连接到服务器进行下载没有问题,因为它在同一台机器上使用 IE(或任何其他 Web 浏览器)运行良好,其他客户端可以从同一台服务器连接和更新。 我尝试使用 BITSADMIN.exe 工具手动添加作业,它们工作正常。然后我将运行我服务的帐户更改为网络服务帐户,这样 Bits 作业将由不同的所有者创建,并且作业成功完成。 我的问题是我...
service-accounts
允许组成员通过 AD 上的特定帐户解锁
背景 我正在创建一项服务,允许支持人员在非工作时间启用他们的 firecall 帐户(即,如果晚上出现问题,我们无法联系到具有管理员权限的人,支持团队的另一名成员可以在 AD 上启用他们的个人 firecall 帐户,该帐户之前已设置为具有管理员权限)。此服务还记录更改的原因,提醒关键人员,以及一系列其他操作,以确保此访问更改受到审核/以便我们可以确保以正确的方式使用这些临时管理员权限。 为此,我需要运行我服务的服务帐户具有在 Active Directory 上启用用户的权限。理想情况下,我希望将其锁定,以便服务帐户只能启用/禁用特定 AD 安全组中的...
service-accounts
GCP Workload Identity 适用于某些工作负载,但不适用于其他工作负载,即使 K8s 服务帐户相同
我们在两个不同的 GKE 集群中部署微服务,一个用于测试,另一个用于生产。 我们的工作负载利用了工作负载身份。在“测试环境”中一切正常,所有工作负载都共享已绑定到 GCP 服务帐户的同一 Kubernetes 服务帐户。 在“生产环境”中,集群由三个节点池支持(我为了完整性而包含此信息,但我不确定它是否重要),并且我们在工作负载身份方面存在问题。 在生产环境中,在某些容器中,如果我们使用 shell 获取元数据或使用 gcloud,我们会意外地发现当前用户是与节点关联的用户,而不是来自工作负载身份的用户。对于其他 pod,工作负载身份可以按预期工作。 另一件...
service-accounts
如何使用 Azure Log Analytics 发现服务帐户登录时正在执行的操作?
我已开始在一家使用 Microsoft 365 的公司担任系统管理员。在我开始工作之前,几个具有全局管理员角色的通用帐户被多个人用于执行大多数日常管理工作。没有文档。 我正在尝试整理这些内容,这样我们就不再拥有那么多 GA 帐户,并且可以为具有特定需求的帐户分配更细粒度的角色。团队不再使用这些通用帐户来做事,但必须设置一些具有全局管理员角色的服务帐户来执行计划任务,因为它们仍显示在 SigninLogs 中。 我已遵循 Microsoft 指南,使用以下查询在 Azure Log Analytics 中登录时进行审核: SigninLogs | projec...
service-accounts
Windows 计划任务无法与服务帐户配合使用
我在计划任务中遇到了一个奇怪的问题。该任务计划在每天早上 02:02 使用服务帐户运行。该任务配置为无论用户是否登录都会运行,并且未勾选“不存储密码”框。该任务调用 Powershell 脚本将文件推送到 AWS S3 存储桶。每天早上,任务都会成功启动,但实际上不会推送文件。我已经测试了 Powershell,当我手动运行脚本时,它可以正常工作。 我使用 Start-Transcript 添加了一些日志,但什么也没告诉我。记录文件已创建,但仅显示脚本已运行。Windows 安全日志显示 SeTcbPrivilege 审核失败,但在我的 DBA 看来,Win...
service-accounts
当 Active Directory 帐户被禁用时,Windows 服务是否继续运行?
本周发生了一起事件,我们的一个 SQL Server 实例意外离线。我发现运行该实例的 Windows 服务已停止,并且由于服务使用的帐户被禁用而无法重新启动它们。据称这些帐户大约在三周前被禁用。 承载这些服务的 Windows 服务器在凌晨重新启动时被发现已关闭。我最后一次访问该实例是在重新启动前几个小时,没有任何问题。这让我相信,在持续运行的服务上,凭据不会重新进行身份验证。这是真的吗?如果不是,控制该行为的策略或默认值是什么? 到目前为止,我在网上搜索到的所有信息都是关于当设备不在域网络上时对已禁用帐户进行本地身份验证。除了服务无法启动时的标准故障排除...
service-accounts
无法在 Google Cloud VM 上重置 Windows 密码:“未在合理的时间内收到密码”
我创建了两个 Google Cloud 虚拟机: 实例 1 (Windows Server 2022) 实例 2 (Windows Server 2019) 通过实例1,我需要使用服务帐户管理实例2[电子邮件保护]。为此,我尝试使用以下命令通过 gcloud CLI 重置 instance2 的 Windows 密码: gcloud compute reset-windows-password instance2 --zone=my-zone --project=my-project 但是,我遇到了以下错误: ERROR: (gcloud.comput...
service-accounts
从 LocalService 帐户访问 SMB 文件夹
情况是这样的:我有一台 Synology 服务器,其文件夹通常可从 Windows 域计算机访问;我在主域服务器上还安装了一个基于 Apache Tomcat 8.5 的应用程序,该应用程序使用“本地服务”帐户运行。在这个应用程序中,我无法访问指向 synology 文件夹的路径,尽管我在数据文件夹的安全选项卡上设置了“Everyone R/W”。我猜“Localservice”帐户没有足够的权限写入数据文件夹,对吗?访问这些文件夹的最简单方法是什么?我应该使用另一个帐户(可能是域帐户)来运行 Apache 服务吗? ...
service-accounts
SSH 密钥无法从实例元数据正确传播到 authorized_keys:密钥丢失、用户差异和密钥重复
我想通过实例元数据添加八个公钥,以避免手动添加它们(即:ssh 到虚拟机,将密钥粘贴到 .ssh/authorized_keys 等)。 我使用以下元数据属性在 Terraform 中添加了密钥(两个用户的四个不同密钥)google_compute_instance: resource "google_compute_instance" "host" { count = var.number_of_hosts // vm details... metadata = { "ssh-keys" = <<EO...
service-accounts
如何使用服务账户在 Kubernetes 中部署对象(部署、配置图等)
我在 Azure devops 中有一个部署管道。我正在使用它来将一些对象部署到我们的 k8s 集群 (microk8s)。我借助使用 kube-config 的服务连接连接到集群。 现在我想转到使用环境。但是使用环境时,我无法使用服务连接,也无法使用 kube 配置,我必须使用一种称为服务帐户的东西。 我尝试添加服务帐户,但尝试连接时失败: 来自服务器的错误(BadRequest):服务器由于未知原因拒绝了我们的请求E0501 20:23:58.096274 11988 request.go:977] 读取响应正文时出现意外错误:读取 tcp 10.53...
service-accounts
如何授予 Google 云服务帐户与其他服务帐户相同的所有权限?
[email protected]因此,我有一个可以访问角色 A 和 B 的Google 云服务帐户。 我需要有服务帐户 2[email protected]来访问角色 A、B,和C。 我如何才能sa-2获得相同的访问权限sa-1以及其他访问权限? 我尝试sa-2以负责人的身份添加sa-1该Service Account Admin角色。 IAM 和管理 服务帐户 选择sa-1 “+ 授予访问权限” sa-2在下拉列表中指定New principals 点击“保存” 但是使用该帐户访问 GCP 服务仍然被拒绝sa-2。 我正在尝试获取...
service-accounts
如何测试Windows服务帐户是否可以登录SQL Server数据库?
如何测试 Windows AD 服务帐户是否已被授予通过 Windows 身份验证从 SQL Server 数据库服务器读取的权限? 这需要一个独立于 Windows 服务内运行的任何操作的独立测试。 ...
service-accounts
组托管服务帐户未更新服务器上的密码
我刚刚在我们的域上设置了一个新的 gMSA,一切正常,只是现在密码已过期,它不会在服务器上更新。我的服务登录失败。这不是复制问题,因为它已经更新了大约 5 天。到目前为止,它发生在安装的所有 3 台服务器上 - 所有 Server 2019。 Test-ADServiceAccount返回 true。 ...
service-accounts
win server 2019 任务计划程序 -> 批处理文件 -> python 脚本作为服务帐户的问题
我在尝试设置一些自动任务来执行批处理文件并进而运行 python 脚本时遇到了大量问题。 当我以我的用户名运行这些任务并且我已登录时,它们都能正常运行,但是当我将它们设置为在未登录的服务帐户下运行时,1)我无法让它们运行,2)我真的不知道如何排除故障。 我进行的一些测试包括 只需获取一个批处理文件来执行并将一行文本写入指示域\用户和时间的文件中。 除了执行将一行文本写入文件的 Python 脚本外,执行的操作相同。这表明服务帐户可以访问 Python,并且能够写入文件。 再次发生同样的事情,但这次执行位于共享目录中的 python 脚本并写入同一位置的文件...