我非常努力地在Active Directory和Windows(服务器和桌面)环境中删除尽可能多的帐户/angular色。 这意味着尽可能多的用户从本地pipe理员和域pipe理员angular色中退出。 (这包括我们自己的安全团队)。
像许多被迫遵守外部规定的组织一样,我们需要保持职责分离。
我在Windows中杀死的一种内置angular色是“只读本地pipe理员”或“审计员”angular色。 有多个类别的用户应该有权检查所有设置,所有文件系统,并运行所有不改变系统的标准工具。 两个例子 – 我们的安全团队和审计人员,他们经常需要不受限制的访问来检查,而没有(偶然或devise)改变设置的可能性。 对于那些愚蠢地“需要”pipe理员权限的工具和服务帐户,这可能是有用的,迫使我们研究所需的“真实”设置。
这些用户需要能够独立于操作团队行事,而不是依靠他们或其他人来收集有关操作系统级别的所有系统设置的信息。
简而言之 – 我不知道这样的东西是内置的。我在这里寻找资源 – 例如,Powershell脚本,我们可以在服务器上运行,作为预先build立(尽可能)的基准,function等同于上述。
即使是build议设置的源列表或如何将是有用的。 我有很多想法(磁盘,registry,股票ACLS),GPO等等。
为了logging,我确实看到了这样的问题: 是否可以创build一个只读的用户帐户进行安全审计? 。
我希望我的post是足够明确的足够的解释,以吸引更多的单一反应,它收到。