我正在实施的服务将运行在域控制器上 ,所以我希望它拥有最小的权限。 理想情况下,它只是作为本地服务运行。 但是,它需要能够:
为这些组添加本地服务显然不是一个好方法。 将服务作为为其生成的虚拟服务帐户运行将允许其以计算机的身份访问networking,这也是不理想的。 所以我想运行它作为本地服务与非零SIDtypes ,从而传递给予VSA的特权。
我无法将服务的VSA添加到上述组中。 我怀疑这是因为VSA是本地的(只存在于域控制器内),而这些组是域组。 可能吗?
组pipe理服务帐户可能被certificate是有用的(replaceVSA),无论是需要手动创build。
什么是正确的方法来设置一个服务只运行指定的权限,而部署没有先决条件(没有创buildGMSA)?
特定组的特定答案也是受欢迎的。