我目前正在审查我的工作的默认域控制器策略GPO对MS安全合规性经理,我发现的事情之一是,有许多东西,用户权限分配没有出现在合规基准。 许多这些东西看起来像机器账户,例如:
我是否应该遵守合规经理的build议并将其删除,或者相信Windows知道自己在做什么,并让他们独处?
或者,Ben知道这些账户是用来做什么的,但是决定不把这些信息列出来,假设这里的每个人都知道,花时间列出这些信息是毫无意义的。
“移动到新的服务器(当然除了DNS)”
为什么“当然”? 是的,DNS可以坐在你的域控制器上,但是它并不是必须的,而且有一些环境将它们分开(有时候甚至不在Windows上)。
我同意,一般来说,像SQLembedded式,IIS等不属于域控制器是最好的做法,但是可能存在特定于站点的原因。
对Ben的问题最简单的回答是实际回答他所问的问题,而不是假设一大堆在他的特定情况下可能或不可能是真实的或相关的事情,并且发布可能会给他带来问题的法令更糟,而不是更好。
这些都是众所周知的服务(IIS和SQL)的着名系统帐户,而且您首先想到的是要删除它们,而不是找出它们在您的环境中使用的是什么。
以下是关于IIS使用ISUR和IWAM以及SQL帐户的一个体面的答案 …谁知道。 SSEE代表SQL Server Embedded Edition,我已经在一些基本的SharePoint安装过程中看到了这一点,所以可能是这样,也可能是其他的东西。 (SharePoint将会考虑到IIS和SQL,尽pipeSharePoint在域控制器上是值得的。)
然而无论如何,这里最重要的是你不要开始搞乱东西,不知道它是什么以及它是干什么的。 想想你的服务器就像一辆汽车。 你根据关于换油的文件打开了引擎盖,看到了三件你不熟悉的东西。 你只是要把他们拉出来,看看会发生什么/希望最好的?
你真正应该做的是找出你的域控制器上运行的所有服务,把它们移到新的服务器(当然除了DNS),一旦你完成了,并确认这些账户不再被访问,那么您可以安全地从您的域控制器中删除它们。