Ich überprüfe derzeit die GPO der Standard-Domänencontrollerrichtlinie meiner Arbeit anhand des MS Security Compliance Managers und habe unter anderem festgestellt, dass es viele Dinge gibt, denen Benutzerrechte zugewiesen wurden, die nicht in der Compliance-Baseline erscheinen. Viele dieser Dinge scheinen Computerkonten zu sein, wie zum Beispiel:
- DOMAIN\IWAM_[Servername]
- DOMAIN\SQLServer2005MSSQLUser$[Servername]$MICROSOFT##SSEE
- DOMAIN\IUSR_[Servername]
Soll ich dem Rat des Compliance-Managers folgen und sie entfernen oder darauf vertrauen, dass Windows weiß, was es tut, und sie in Ruhe lassen?
Antwort1
Alternativ weiß Ben, wofür die Konten verwendet werden, hat sich aber dazu entschieden, diese Information nicht aufzuführen, da er davon ausging, dass das hier jeder wüsste und es keinen Sinn hätte, Zeit darauf zu verwenden, diese Dinge aufzulisten.
„Verschieben Sie sie auf neue Server (außer DNS natürlich)“
Warum „natürlich“? Ja, DNS kann auf Ihren Domänencontrollern sitzen, muss es aber nicht, und es gibt Umgebungen, in denen es sinnvoll ist, sie getrennt zu haben (und manchmal nicht einmal unter Windows).
Ich stimme zu, dass Dinge wie SQL Embedded, IIS usw. aus Gründen der bewährten Vorgehensweise im Allgemeinen nicht auf Domänencontroller gehören, es kann jedoch standortspezifische Gründe für ihre Anwesenheit geben.
Die einfachste Antwort auf Bens Frage besteht darin, tatsächlich auf die Frage zu antworten, die ihm gestellt wurde, und nicht eine Menge Dinge anzunehmen, die in seiner besonderen Situation wahr oder relevant sein können oder nicht, und keine Anordnungen zu treffen, die seine Lage eher verschlimmern als verbessern.
Antwort2
Dabei handelt es sich um bekannte Systemkonten für bekannte Dienste (IIS und SQL), und es ist ziemlich besorgniserregend, dass Ihr erster Gedanke darin bestand, nach deren Entfernung zu fragen, anstatt herauszufinden, wofür sie in Ihrer Umgebung verwendet werden.
Hier ist eine anständige Antwort zur Verwendung von ISUR und IWAM durch IISund das SQL-Konto ... wer weiß. SSEE steht für SQL Server Embedded Edition und ich habe dies bei einigen grundlegenden SharePoint-Installationen gesehen, also könnte es das sein, oder es könnte etwas anderes sein. (SharePoint würde sowohl IIS als auch SQL berücksichtigen, was auch immer das bedeutet ... obwohl SharePoint auf einem Domänencontroller einfach eklig ist.)
Wie dem auch sei, wichtig ist, dass Sie nicht anfangen, an Dingen herumzubasteln, ohne eine Ahnung davon zu haben, was es ist und was es tut. Stellen Sie sich Ihren Server wie ein Auto vor. Sie haben die Motorhaube geöffnet, basierend auf einem Dokument zum Ölwechsel, und drei Dinge gesehen, die Ihnen unbekannt sind. Werden Sie sie einfach herausreißen und sehen, was passiert/das Beste hoffen?
Sie sollten unbedingt herausfinden, welche Dienste auf Ihren Domänencontrollern ausgeführt werden, diese auf neue Server verschieben (außer DNS natürlich). Wenn Sie damit fertig sind und sichergestellt haben, dass auf diese Konten nicht mehr zugegriffen wird, können Sie sie sicher von Ihren Domänencontrollern entfernen.