Ich habe einige Powershell-Skripte, die einige Prozeduren mit Benutzern in AD ausführen, wie etwa cmd-lets ‚Set-ADAccount‘, ‚Add-ADPrincipalGroupMembership‘ und ähnliches, die im Grunde Änderungen in AD in einem allgemeinen Kontext vornehmen.
Ich habe geplante Aufgaben in einem Domänencontroller getestet und erstellt, der diese Skripte regelmäßig ausführt und als SYSTEM-Konto ausgeführt wird. Es hat funktioniert.
Gibt es Probleme beim Ausführen solcher Skripte mit einem SYSTEM-Konto?
Macht es einen Unterschied, ob ich sie mit SYSTEM oder einem anderen Domänenbenutzer mit den richtigen Berechtigungen ausführe?
Antwort1
Wenn Sie auf einem Windows-Rechner das Konto SYSTEM verwenden, haben Sie grundsätzlich die höchsten verfügbaren Berechtigungen. SYSTEM hat die Berechtigung, Benutzer zu imitieren, beliebige Dateien zu ändern und im Grunde alles andere, was Sie sich vorstellen können.
Wenn Sie als SYSTEM auf einem Domänencontroller laufen, erstreckt sich dies auch auf Ihre Active Directory-Infrastruktur.
„Best Practices“ empfehlen, eine Aufgabe nicht als SYSTEM auszuführen, es sei denn, dies ist notwendig, da die Aufgabe eine enorme Menge an Berechtigungen erhält. Darüber hinaus wird auch empfohlen, die Ausführung geplanter Aufgaben auf einem Domänencontroller zu vermeiden.
Es gibt zwei Hauptbedenken. Erstens können unbeabsichtigte Fehler, die Sie beim Erstellen Ihrer Aufgabe/Ihres Skripts machen, Ihre gesamte Domäne unwiederbringlich lahmlegen. Zweitens beruht die Sicherheit Ihrer gesamten Domäne auf der Integrität dieser einen Skriptdatei.
Wir können Ihnen nicht sagen, was Sie mit Ihrer Umgebung tun sollen, und bewährte Methoden sind nicht überall anwendbar. Sie sollten tun, was nötig ist, aber sich der Risiken bewusst sein.
Antwort2
Um Ihr Ziel zu erreichen, können Sie es im Kontext einer Person ausführen, die Mitglied der Account Operators ist.