AD 内のユーザーに対していくつかの手順を実行する PowerShell スクリプトがいくつかあります。たとえば、cmd-lets 'Set-ADAccount'、'Add-ADPrincipalGroupMembership' などです。基本的には、一般的なコンテキストで AD に変更を加えます。
1 つのドメイン コントローラーでスケジュールされたタスクをテストして作成し、SYSTEM アカウントとしてこれらのスクリプトを定期的に実行しました。うまくいきました。
このようなスクリプトを SYSTEM アカウントで実行しても問題はありませんか?
SYSTEM で実行するか、適切な権限を持つ別のドメイン ユーザーで実行するかで違いはありますか?
答え1
任意の Windows ボックスで SYSTEM アカウントとして実行すると、基本的に利用可能な最高の権限で実行されます。SYSTEM には、ユーザーになりすます権限、任意のファイルを変更する権限、および基本的に考えられるあらゆる権限があります。
ドメイン コントローラー上で SYSTEM として実行すると、これは Active Directory インフラストラクチャにも拡張されます。
「ベスト プラクティス」では、タスクが取得する権限が膨大であるため、必要な場合を除き、タスクを SYSTEM として実行しないようにすることが推奨されています。また、スケジュールされたタスクをドメイン コントローラーで実行しないようにすることも推奨されています。
主な懸念事項が 2 つあります。まず、タスク/スクリプトを作成するときに不注意なミスをすると、ドメイン全体が回復不能な状態に陥る可能性があります。次に、ドメイン全体のセキュリティは、その 1 つのスクリプト ファイルの整合性にかかっています。
お客様の環境で何をすべきかを指示することはできません。また、ベスト プラクティスがどこにでも当てはまるわけではありません。必要なことを行う必要がありますが、リスクに注意してください。
答え2
達成したいことを実現するために、アカウント オペレーターのメンバーである誰かのコンテキストで実行できます。