現在、LOCAL_SYSTEM (実質的にはローカル管理者) として実行されている Windows サービスがあります。サービスの機能の 1 つは、新しいローカル アカウントをプロビジョニングし、特定のグループに追加することです。次のことは可能ですか?
- サービス アカウントに特定のユーザー アカウント/グループを使用し、新しいアカウントを作成できるように権限を割り当てます。
- 限定された権限を持つユーザーのみを作成できるようにサービスを制限します。たとえば、サービスによってプロビジョニングされ、対話型ログオンを持たず、特定のグループのメンバーであるアカウントなどです。
- PowerShell を使用してこれを構成します。
ローカル セキュリティ ポリシーを通じてこれが可能になるだろうと思っていましたが、どうやらそうではないようです。サービス アカウントを管理者に追加することはできますが、サービス アカウントの権限を減らすのには役立ちません。
この主な目的は、サービスが何らかの理由でハッキングされた場合に、ハッカーが作成できるのはサービス アカウントよりも権限の低いアカウントのみであるため、被害を制限できるようにすることです。
これはドメイン アカウントではなくローカル アカウントに関係することに注意してください。
答え1
PowershellのJEA の役割の機能ローカル アカウントがローカル ユーザー管理に関連するコマンド (New-LocalUser、Add-LocalGroupMember) のみを使用できるようにする機能を作成し、低い権限のグループのみが引数として受け入れられるように許可されるパラメーターを制限します。
これで開始できるはずです: