私は、Active Directory と Windows (サーバーとデスクトップ) 環境から、権限が過剰なアカウント/ロールをできるだけ多く削除するよう熱心に取り組んでいます。つまり、できるだけ多くのユーザーをローカル管理者とドメイン管理者のロールから退任させるということです。(これには、当社のセキュリティ チームも含まれます)
外部規制に従うことを余儀なくされている多くの組織と同様に、当社でも職務の分離を維持することが求められています。
Windows に組み込みロールとして私が絶対に欲しいと思うのは、「読み取り専用ローカル管理者」または「監査人」ロールです。すべての設定、すべてのファイル システムを調べ、システムを変更しないすべての標準ツールを実行する権限を持つべきユーザー クラスは複数あります。2 つの例 - セキュリティ チームと監査人。これらは、設定の変更の可能性 (偶然または意図的に) なしに調べるために、しばしば阻止されないアクセスを必要とします。これは、愚かにも管理者権限を「必要とする」ツールやサービス アカウントに役立ち、必要な「実際の」設定を調査することを強いることがあります。
これらのユーザーは、運用チームから独立して行動でき、OS レベルですべてのシステム設定に関する情報を収集するために運用チームや他のユーザーに依存しないようにする必要があります。
要するに、このようなものは組み込まれていないことはわかっています。ここでリソースを探しています。たとえば、Powershell スクリプトなどです。これをベースラインとしてサーバー上で実行し、(可能な限り) 上記と同等の機能を持つものを事前に確立できます。
推奨設定やその方法のソース リストも役立ちます。ディスク、レジストリ、共有の ACL、GPO など、多くのことが考えられます。
記録のために言っておきますが、私は次のような質問を目にしました: セキュリティ監査の目的で読み取り専用ユーザー アカウントを作成することは可能ですか?。
私の投稿が十分に独特で、十分な説明があり、受け取った 1 件の反応以上の反応を引き出せることを願っています。