Estoy intentando con mucha diligencia eliminar la mayor cantidad posible de cuentas/roles con privilegios excesivos en nuestro entorno Active Directory y Windows (servidor y escritorio). Esto significa retirar tantos usuarios como sea posible de las funciones de administrador local y administrador de dominio. (Esto incluye nuestro propio equipo de seguridad).
Como muchas organizaciones que se ven obligadas a cumplir con regulaciones externas, debemos mantener la separación de funciones.
Un tipo de función integrada que preferiría en Windows sería la función "Administrador local de sólo lectura" o "Auditor". Hay varias clases de usuarios que deberían tener derechos para examinar todas las configuraciones, todos los sistemas de archivos y ejecutar todas las herramientas estándar que no cambian el sistema. Dos ejemplos: nuestros equipos de seguridad y auditores, que a menudo necesitan acceso sin inmutarse para examinar sin la posibilidad (por casualidad o diseño) de alterar la configuración. Podría ser útil para herramientas y cuentas de servicios que estúpidamente "requieren" privilegios de administrador, lo que nos obliga a investigar las configuraciones "reales" necesarias.
Estos usuarios deben poder actuar independientemente de los equipos operativos y NO depender de ellos ni de otros para recopilar información sobre todas las configuraciones del sistema a nivel del sistema operativo.
En resumen, sé que no hay nada como esto integrado. Estoy buscando recursos aquí, por ejemplo, scripts de Powershell, que podríamos ejecutar en servidores como base para preestablecer (en la medida de lo posible), el equivalente funcional de lo anterior.
Incluso sería útil una lista de fuentes de configuraciones sugeridas o cómo hacerlo. Tengo muchos en mente (ACLS en disco, registro, recursos compartidos), GPO, etc, etc.
Para que conste, vi la pregunta: ¿Es posible crear una cuenta de usuario de sólo lectura para fines de auditoría de seguridad?.
Espero que mi publicación sea lo suficientemente clara y con explicaciones suficientes para atraer más que la única respuesta que recibió.