Wir haben einen Windows-Dienst, der derzeit als LOCAL_SYSTEM ausgeführt wird – also praktisch ein lokaler Administrator. Eine der Funktionen des Dienstes besteht darin, neue lokale Konten bereitzustellen und sie einer bestimmten Gruppe hinzuzufügen. Ist Folgendes möglich?
- Verwenden Sie für das Dienstkonto ein spezielles Benutzerkonto/eine spezielle Gruppe und weisen Sie ihm die entsprechenden Berechtigungen zu, damit es neue Konten erstellen kann.
- Beschränken Sie den Dienst, sodass er nur Benutzer mit eingeschränkten Berechtigungen erstellen kann. Beispielsweise verfügen die vom Dienst bereitgestellten Konten nicht über eine interaktive Anmeldung und sind Mitglieder einer bestimmten Gruppe.
- Konfigurieren Sie dies mit PowerShell.
Ich hatte angenommen, dass dies über die lokale Sicherheitsrichtlinie möglich wäre, aber das scheint nicht der Fall zu sein. Das Hinzufügen des Dienstkontos zu den Administratoren funktioniert zwar, hilft mir aber nicht, die Berechtigungen des Dienstkontos zu reduzieren.
Der Sinn dahinter besteht darin, dass wir den Schaden begrenzen können, falls der Dienst irgendwie gehackt wird – der Hacker kann nur Konten mit weniger Berechtigungen als das Dienstkonto erstellen.
Beachten Sie, dass sich dies auf lokale Konten und nicht auf Domänenkonten bezieht.
Antwort1
Sie können Powershell verwendenJEA-Rollenfunktionenund erstellen Sie eine Funktion, die es dem lokalen Konto ermöglicht, nur Befehle im Zusammenhang mit der lokalen Benutzerverwaltung (New-LocalUser, Add-LocalGroupMember) zu verwenden und die zulässigen Parameter so einzuschränken, dass nur Gruppen mit niedrigen Berechtigungen als Argument akzeptiert werden.
Dies sollte Ihnen den Einstieg erleichtern: