Eu tenho alguns scripts Powershell que fazem alguns procedimentos com usuários no AD, como cmd-lets 'Set-ADAccount', 'Add-ADPrincipalGroupMembership' e coisas assim, basicamente fazem alterações no AD, em um contexto geral.
Testei e criei tarefas agendadas em um Controlador de Domínio, que executa esses scripts regularmente, rodando como conta SYSTEM. Funcionou.
Existe algum problema ao executar esses scripts com a conta SYSTEM?
Existe alguma diferença em executá-los com SYSTEM ou outro usuário de domínio com as permissões corretas?
Responder1
Executar como conta SYSTEM em qualquer caixa do Windows é essencialmente executar com os privilégios mais altos disponíveis. SYSTEM tem permissões para se passar por usuários, modificar quaisquer arquivos e basicamente qualquer outra coisa que você possa imaginar.
Quando você executa como SYSTEM em um controlador de domínio, isso também se estende à infraestrutura do Active Directory.
As "Práticas recomendadas" dizem para evitar executar uma tarefa como SYSTEM, a menos que seja necessário, devido à quantidade obscena de permissões que a tarefa obtém. Além disso, também é recomendado evitar a execução de tarefas agendadas em um controlador de domínio.
Existem duas preocupações principais. Primeiro, qualquer erro inadvertido que você possa cometer ao criar sua tarefa/script pode prejudicar irrecuperavelmente todo o seu domínio. Em segundo lugar, a segurança de todo o seu domínio depende da integridade desse arquivo de script.
Não podemos lhe dizer o que fazer com seu ambiente e as práticas recomendadas não se aplicam a todos os lugares. Você deve fazer o que for necessário, mas esteja atento aos riscos.
Responder2
Para o que você deseja alcançar, você pode executá-lo com o contexto de alguém que seja membro dos Operadores de Conta.