Atualmente, estou revisando o GPO de política de controlador de domínio padrão do meu trabalho em relação ao MS Security Compliance Manager, e uma das coisas que descobri é que há muitas coisas que têm atribuições de direitos de usuário que não aparecem na linha de base de conformidade. Muitas dessas coisas parecem ser contas de máquina, como:
- DOMÍNIO\IWAM_[Nome do servidor]
- DOMÍNIO\SQLServer2005MSSQLUser$[Nome do servidor]$MICROSOFT##SSEE
- DOMÍNIO\IUSR_[Nome do servidor]
Devo seguir o conselho do gerente de conformidade e removê-los ou confiar que o Windows sabe o que está fazendo e deixá-los em paz?
Responder1
Alternativamente, Ben sabe para que servem as contas, mas tomou a decisão de não listar essas informações sob a suposição de que todos aqui saberiam disso, e gastar tempo listando essas coisas era inútil.
"mova-os para novos servidores (exceto DNS, é claro)"
Por que "é claro"? Sim, o DNS pode ficar em seus controladores de domínio, mas não é obrigatório, e há ambientes onde faz sentido tê-los separados (e às vezes nem mesmo no Windows).
Eu concordaria que, em geral, coisas como SQL Embedded, IIS, etc. não pertencem aos controladores de domínio por uma questão de prática recomendada, mas pode haver motivos específicos do site para que eles estejam lá.
A resposta mais simples à pergunta de Ben é realmente responder à pergunta que ele fez, em vez de presumir um monte de coisas que podem ou não ser verdadeiras ou relevantes em sua circunstância específica, e emitir decretos para tomar ações que possam realmente criar problemas para ele. pior, em vez de melhor.
Responder2
Essas são contas de sistema bem conhecidas para serviços bem conhecidos (IIS e SQL), e é bastante preocupante que seu primeiro pensamento tenha sido perguntar sobre como removê-las, em vez de descobrir para que são usadas em seu ambiente.
Aqui está uma resposta decente sobre o uso de ISUR e IWAM pelo IISe a conta SQL... quem sabe. SSEE significa SQL Server Embedded Edition, e já vi isso em algumas instalações básicas do SharePoint, então pode ser o que é ou pode ser outra coisa. (O SharePoint seria responsável pelo IIS e pelo SQL, pelo que vale a pena... embora o SharePoint em um controlador de domínio seja simplesmente nojento.)
Porém, de qualquer forma, o importante aqui é você não começar a mexer nas coisas sem ter alguma ideia do que são e do que fazem. Pense no seu servidor como um carro. Você abriu o capô com base em um documento sobre troca de óleo e viu três coisas que não conhece. Você vai apenas arrancá-los e ver o que acontece/esperar pelo melhor?
O que você realmente deve fazer é descobrir quais serviços estão sendo executados em seus controladores de domínio, movê-los para novos servidores (exceto DNS, é claro) e, depois de terminar isso e verificar se essas contas não estão mais sendo acessadas , você poderá removê-los com segurança dos seus controladores de domínio.