我最近偶然发现了一个作为Domain Admins组成员的工作站帐户。 我认为这不被推荐,对吧?
不过,我很好奇这个星座的实际效果是什么:每个人都login到这台机器获得域pipe理员权限? 还是仅限于本地的SYSTEM,SERVICE等账号? 换句话说,安全漏洞有多大?
使用计算机帐户运行的服务将获得域pipe理员权限。 login到该机器的用户不会inheritance这些权限。 有时候,如果某些写得不好的服务因某种原因无法以用户身份运行,需要访问整个域,则可以这样做。 另外,懒惰的pipe理员。
作为一个安全缺陷,它不是翻天覆地,但应该得到解决。 (没有蹩脚的代码)没有理由完成这个工作。