現在、MS セキュリティ コンプライアンス マネージャーを使用して、職場の既定のドメイン コントローラー ポリシー GPO を確認していますが、コンプライアンス ベースラインに表示されないユーザー権限の割り当てが多数あることがわかりました。その多くは、次のようなマシン アカウントのようです。
- ドメイン\IWAM_[サーバーの名前]
- ドメイン\SQLServer2005MSSQLUser$[サーバーの名前]$マイクロソフト##SSEE
- ドメイン\IUSR_[サーバーの名前]
コンプライアンス マネージャーのアドバイスに従ってこれらを削除すべきでしょうか、それとも Windows が何をしているかを認識していると信頼してそのままにしておくべきでしょうか。
答え1
あるいは、ベンはアカウントの用途を知っていますが、ここにいる全員がそれを知っているだろうという前提でその情報をリストしないという決定を下したため、それらの情報をリストするのに時間を費やすのは無意味でした。
「新しいサーバーに移動する(もちろん DNS を除く)」
なぜ「もちろん」なのでしょうか? はい、DNS はドメイン コントローラー上に配置できますが、必ずしもそうする必要はありません。また、それらを分離することが理にかなっている環境もあります (Windows 上でもそうでない場合があります)。
一般的に、SQL Embedded、IIS などはベスト プラクティスとしてドメイン コントローラーには属さないことに同意しますが、サイト固有の理由でドメイン コントローラーに配置する必要がある場合もあります。
ベンの質問に対する最も簡単な答えは、彼の特定の状況において真実であるかどうかわからない、あるいは関連があるかもしれないたくさんのことを想定して、彼にとって問題を改善するどころか、実際には悪化させる可能性のある行動を取るよう命令を出すのではなく、実際に彼が尋ねた質問に答えることです。
答え2
これらはよく知られたサービス (IIS および SQL) 用のよく知られたシステム アカウントであり、自分の環境でこれらが何に使用されているかを調べるのではなく、最初に考えたのがそれらを削除することについて質問することだったというのは、かなり懸念すべきことです。
IISによるISURとIWAMの使用に関する適切な回答は次のとおりです。、そして SQL アカウント... 誰にもわかりません。SSEE は SQL Server Embedded Edition の略で、基本的な SharePoint インストールでこれを見たことがあるので、それが原因かもしれませんし、別の原因かもしれません。(SharePoint は IIS と SQL の両方を考慮します。ただし、ドメイン コントローラー上の SharePoint はひどいです。)
しかし、いずれにしても、ここで重要なのは、それが何であるか、何をするかについてある程度の知識がないまま、いじり始めないことです。サーバーを車に例えてみましょう。オイル交換に関する文書に基づいてボンネットを開けると、見慣れない 3 つのものが目に入りました。それらを引っ張り出して、何が起こるか見てみるか、最善の結果を期待しますか?
本当にすべきことは、ドメイン コントローラーで実行されているすべてのサービスを把握し、それらを新しいサーバーに移動することです (もちろん DNS は除きます)。そして、それを完了し、これらのアカウントがアクセスされなくなったことを確認したら、それらをドメイン コントローラーから安全に削除できます。