Actualmente estoy revisando el GPO de política de controlador de dominio predeterminado de mi trabajo con el Administrador de cumplimiento de seguridad de MS, y una de las cosas que encontré es que hay muchas cosas que tienen asignaciones de derechos de usuario que no aparecen en la línea base de cumplimiento. Muchas de estas cosas parecen ser cuentas de máquina, como por ejemplo:
- DOMINIO\IWAM_[Nombre del servidor]
- DOMINIO\SQLServer2005MSSQLUsuario$[Nombre del servidor]$MICROSOFT##SSEE
- DOMINIO\IUSR_[Nombre del servidor]
¿Debería seguir el consejo del administrador de cumplimiento y eliminarlos, o confiar en que Windows sepa lo que está haciendo y dejarlos en paz?
Respuesta1
Alternativamente, Ben sabe para qué se utilizan las cuentas, pero tomó la decisión de no incluir esa información bajo el supuesto de que todos aquí lo sabrían, y dedicar tiempo a enumerar esas cosas no tenía sentido.
"muévalos a nuevos servidores (excepto DNS, por supuesto)"
Por qué por supuesto"? Sí, DNS puede ubicarse en sus controladores de dominio, pero no es necesario, y hay entornos en los que tiene sentido tenerlos separados (y a veces ni siquiera en Windows).
Estoy de acuerdo en que, en general, cosas como SQL Embedded, IIS, etc. no pertenecen a los controladores de dominio como una práctica recomendada, pero puede haber razones específicas del sitio para que estén allí.
La respuesta más simple a la pregunta de Ben es responder realmente a la pregunta que le hacen, en lugar de asumir un montón de cosas que pueden o no ser ciertas o relevantes en sus circunstancias particulares, y emitir edictos para tomar acciones que realmente puedan generar problemas para él. peor, en lugar de mejor.
Respuesta2
Esas son cuentas de sistema bien conocidas para servicios bien conocidos (IIS y SQL), y es bastante preocupante que su primer pensamiento haya sido preguntar acerca de cómo eliminarlas, en lugar de averiguar para qué se utilizan en su entorno.
Aquí hay una respuesta decente sobre el uso de ISUR e IWAM por parte de IIS, y la cuenta SQL... quién sabe. SSEE significa SQL Server Embedded Edition, y he visto esto en algunas instalaciones básicas de SharePoint, por lo que podría ser lo que es, o podría ser otra cosa. (SharePoint representaría tanto IIS como SQL, por lo que vale... aunque SharePoint en un controlador de dominio es simplemente asqueroso).
Sin embargo, de cualquier manera, lo importante aquí es que no empieces a jugar con cosas sin tener una idea de qué es y qué hace. Piense en su servidor como un automóvil. Abriste el capó basándose en un documento sobre el cambio de aceite y viste tres cosas que no te resultan familiares. ¿Vas a sacarlos y ver qué pasa/esperar lo mejor?
Lo que realmente debe hacer es averiguar qué servicios se están ejecutando en sus controladores de dominio, moverlos a nuevos servidores (excepto DNS, por supuesto), y una vez que haya terminado y verificado que ya no se accede a estas cuentas , entonces podrá eliminarlos de forma segura de sus controladores de dominio.