我必须设置应用程序的用户帐户来获取我们域的用户和组成员的列表。 因此,我希望这些应用程序尽可能使用最低限度的访问权限来为用户帐户使用凭据。
我所做的是创build不能更改密码的基本用户,组成员是“域用户”,并将密码设置为一个随机生成的令人厌恶的长度。
是否有我应该使用的特定的内置安全组? 是否有另一种更安全的方式来创build用户并授予他们这种访问权限?
任何和所有的帮助将不胜感激!
由于您没有提及任何限制,只要帐户只能读取目录的一部分,我认为没有必要去过时。 “域用户”默认组已经拥有最低权限。 它有权从目录中读取用户,组和计算机对象,这是你想要做的。
我将创build一个名为“服务帐户”或类似的组,并将您的特殊用户添加到该组。 然后,我将修改为服务帐户组设置“本地拒绝login”和“通过远程桌面拒绝login”的域级GPO。
即使有人做了这个帐户的妥协,他们将无法交互地login到任何域计算机,也不会有足够的权限使用networkinglogin做任何有用的事情。