cmd-lets 'Set-ADAccount', 'Add-ADPrincipalGroupMembership' 등과 같은 AD 사용자와 함께 일부 절차를 수행하는 Powershell 스크립트가 있으며 기본적으로 일반적인 맥락에서 AD를 변경합니다.
SYSTEM 계정으로 실행하여 정기적으로 해당 스크립트를 실행하는 하나의 도메인 컨트롤러에서 예약된 작업을 테스트하고 만들었습니다. 효과가 있었습니다.
SYSTEM 계정으로 이러한 스크립트를 실행하는 데 문제가 있습니까?
SYSTEM 또는 올바른 권한을 가진 다른 도메인 사용자로 실행하는 데 차이점이 있습니까?
답변1
모든 Windows 상자에서 SYSTEM 계정으로 실행하는 것은 기본적으로 사용 가능한 가장 높은 권한으로 실행됩니다. SYSTEM에는 사용자를 가장하고, 파일을 수정하고, 기본적으로 생각할 수 있는 모든 것을 수정할 수 있는 권한이 있습니다.
도메인 컨트롤러에서 SYSTEM으로 실행하면 이는 Active Directory 인프라로도 확장됩니다.
"모범 사례"에서는 작업이 얻는 엄청난 양의 권한으로 인해 필요하지 않은 한 작업을 SYSTEM으로 실행하지 말라고 말합니다. 또한 도메인 컨트롤러에서 예약된 작업을 실행하지 않는 것이 좋습니다.
두 가지 주요 관심사가 있습니다. 첫째, 작업/스크립트를 생성할 때 발생할 수 있는 부주의한 실수로 인해 전체 도메인이 복구 불가능하게 손상될 수 있습니다. 둘째, 전체 도메인의 보안은 해당 스크립트 파일의 무결성에 달려 있습니다.
귀하의 환경에 무엇을 해야 할지 알려드릴 수 없으며 모범 사례가 모든 곳에 적용되는 것은 아닙니다. 필요한 작업을 수행해야 하지만 위험에 유의해야 합니다.
답변2
달성하려는 목적을 위해 계정 운영자의 구성원인 누군가의 컨텍스트를 사용하여 실행할 수 있습니다.