저는 Active Directory 및 Windows(서버 및 데스크톱) 환경에서 권한이 과도한 계정/역할을 최대한 제거하기 위해 매우 부지런히 노력하고 있습니다. 이는 로컬 관리자 및 도메인 관리자 역할에서 가능한 한 많은 사용자를 은퇴시키는 것을 의미합니다. (여기에는 자체 보안팀도 포함됩니다).
외부 규정을 준수해야 하는 많은 조직과 마찬가지로 우리도 업무 분리를 유지해야 합니다.
Windows에서 꼭 필요한 기본 제공 역할 중 하나는 "읽기 전용 로컬 관리자" 또는 "감사자" 역할입니다. 모든 설정, 모든 파일 시스템을 검사하고 시스템을 변경하지 않는 모든 표준 도구를 실행할 수 있는 권한을 가져야 하는 여러 클래스의 사용자가 있습니다. 두 가지 예 - 설정을 변경할 가능성(우연히 또는 의도적으로) 없이 조사하기 위해 종종 단호한 액세스가 필요한 보안 팀과 감사자입니다. 어리석게도 관리자 권한을 "요구"하여 필요한 "실제" 설정을 조사해야 하는 도구 및 서비스 계정에 유용할 수 있습니다.
이러한 사용자는 운영 팀과 독립적으로 행동할 수 있어야 하며 OS 수준에서 모든 시스템 설정에 대한 정보를 수집하기 위해 운영 팀이나 다른 사람에게 의존해서는 안 됩니다.
간단히 말해서, 저는 이와 같은 것이 내장되어 있지 않다는 것을 알고 있습니다. 여기서 리소스를 찾고 있습니다. 예를 들어 (가능한 한) 미리 설정하기 위한 기준으로 서버에서 실행할 수 있는 Powershell 스크립트와 같은 것입니다. 위와 기능적으로 동일합니다.
제안된 설정이나 방법에 대한 소스 목록도 유용할 것입니다. 나는 많은 것을 염두에 두고 있습니다(디스크, 레지스트리, 공유의 ACLS), GPO 등.
기록을 위해 다음 질문을 보았습니다. 보안 감사 목적으로 읽기 전용 사용자 계정을 생성할 수 있습니까?.
나는 내 게시물이 단일 응답보다 더 많은 관심을 끌 수 있을 만큼 충분한 설명을 포함할 만큼 뚜렷하기를 바랍니다.