Tengo algunos scripts de Powershell que realizan algunos procedimientos con usuarios en AD, como cmd-lets 'Set-ADAccount', 'Add-ADPrincipalGroupMembership' y cosas así, básicamente hacen cambios en AD, en un contexto general.
Probé y creé tareas programadas en un controlador de dominio, que ejecuta esos scripts de forma regular, ejecutándose como una cuenta de SISTEMA. Funcionó.
¿Hay algún problema al ejecutar dichos scripts con la cuenta SYSTEM?
¿Hay alguna diferencia al ejecutarlos con SYSTEM u otro usuario de dominio con los permisos correctos?
Respuesta1
Ejecutar como la cuenta del SISTEMA en cualquier equipo de Windows es esencialmente ejecutarse con los privilegios más altos disponibles. SYSTEM tiene permisos para hacerse pasar por usuarios, modificar cualquier archivo y básicamente cualquier otra cosa que se te ocurra.
Cuando ejecuta como SISTEMA en un controlador de dominio, esto también se extiende a su infraestructura de Active Directory.
Las "Mejores prácticas" dicen que se debe evitar ejecutar una tarea como SISTEMA a menos que sea necesario, debido a la cantidad obscena de permisos que obtiene esa tarea. Además, también se recomienda evitar ejecutar tareas programadas en un controlador de dominio.
Hay dos preocupaciones principales. En primer lugar, cualquier error involuntario que pueda cometer al crear su tarea/script podría paralizar irremediablemente todo su dominio. En segundo lugar, la seguridad de todo su dominio depende de la integridad de ese archivo de script.
No podemos decirle qué hacer con su entorno y las mejores prácticas no se aplican en todas partes. Debe hacer lo que sea necesario, pero tenga en cuenta los riesgos.
Respuesta2
Para lo que desea lograr, puede ejecutarlo con el contexto de alguien que sea miembro de Operadores de cuentas.