我有一些Powershell脚本,这些脚本在AD中创build了一些用户程序,比如cmd-let'Set-ADAccount','Add-ADPrincipalGroupMembership'等等,基本上在AD中进行更改。
我在一个域控制器中testing并创build了计划任务,这些域控制器定期运行这些脚本,并以SYSTEM帐户运行。 有效。
用SYSTEM帐户运行这样的脚本有没有什么问题?
是否有与SYSTEM或其他域用户使用正确的权限运行他们有什么区别?
在任何Windows操作系统上作为系统帐户运行基本上都以最高的可用权限运行。 SYSTEM有权模仿用户,修改任何文件,基本上你可以想到的任何东西。
在域控制器上以SYSTEM身份运行时,这也会扩展到您的Active Directory基础结构。
“最佳实践”说,除非必要,避免将任务作为系统运行,这是由于任务所获得的权限过多。 此外,还build议避免在域控制器上运行计划任务。
有两个主要问题。 首先,创build任务/脚本时可能出现的任何无意中的错误都可能使您的整个域名无法恢复。 其次,整个域的安全性取决于该脚本文件的完整性。
我们无法告诉您如何处理您的环境,最佳实践并不适用于任何地方。 你应该做你所需要的,但要注意风险。
对于您想要实现的目标,您可以使用帐户操作员成员的上下文来运行它。