一个组织要求多个pipe理员具有安全审计员的angular色。 它们必须具有对Windows Server 2008 / R2系统的只读(通过networking/远程)访问权限,并具有查看服务器configuration的权限。 他们不能对服务器或networking进行任何其他更改,如重新启动或进行任何configuration通道。
但是我找不到像这样的用户的任何内置设置。 最接近的是“用户”用户组[1],但是根据我的理解,域中的每个用户都在该组中,并且无法查看域服务器的configuration。
那么,在Windows Server 2008中实现只读用户帐户的其他选项是什么呢?
[1] http://technet.microsoft.com/en-us/library/cc771990.aspx
不,这不是合理的。 在技术上可行的是创build一个只读权限的账户,但这是一个相当的事情,据我所知,目前还没有这样的账户。
问题是,默认情况下,大多数要查看的“configuration”设置只能由pipe理用户访问,他们也可以修改它们。 因此,要创build一个只读的用户可以访问所有的东西,你基本上是在修改所有的东西(文件系统,registry,应用程序的权限),为给定的用户添加只读访问。
像世界其他地方一样,如果有必要的话,让审计员要求pipe理员提供信息,而审计人员则要求pipe理员检索所需的信息。
今后,审计师应该使用像Varonis这样的系统来跟踪系统的变化。 然后,他们有自己的审讯工具,他们可以login,它会给他们这样的信息。
更改文件系统,registry等权限可能会导致未来的权限问题。
安东尼