Я только что временно принял администрирование веб-сервера Windows 2008 от предыдущего сотрудника. Мне нужно как можно скорее сменить пароль администратора, но я заметил, что довольно много служб также работают под этой учетной записью. Итак:
- Есть ли быстрый способ узнать, на какие службы повлияет смена пароля, или нужно просто просмотреть весь список?
- Мне кажется неправильным, что учетная запись администратора используется таким образом. Следует ли мне создать другую учетную запись для этих служб или использование учетной записи администратора является стандартной практикой?
- Я понимаю, что серверы/сети у всех настроены по-разному, но есть ли еще какие-то моменты, на которые мне следует обратить внимание при смене пароля администратора?
Спасибо
решение1
1) Вам придется прокрутить список, но вы можете отсортировать его по столбцу «Войти как», чтобы быстро найти, какие из них используют другие учетные записи, кроме LocalSystem, LocalService и NetworkService.
2) Это определеннонетнаилучшая практика, так что, да, вам следует изменить эти учетные записи пользователей; но перед этим вы должны проверить, какие права доступа действительно нужны этим службам для работы. Если вы собираетесь использовать пользовательскую учетную запись (т. е. не одну из LocalSystem, LocalService или NetworkService), вам придется по крайней мере предоставить ей право "Log On As A Service".
3) Вам следует проверить Scheduled Tasks на этом сервере, а также проверить, не подключается ли к этому серверу по сети какое-либо другое приложение с использованием учетной записи администратора. Поскольку это веб-сервер, я бы также проверил идентификаторы пула приложений в IIS, хотя было бы очень неразумно запускать их от имени администратора; но то же самое относится и к службам, так что...
решение2
Я могу ошибаться, но я бы подумал, что службы будут запускаться независимо от пароля учетной записи администратора, пока этот пользователь вошел в систему. Сказав это, если им требуется доступ через прокси-сервер, вы вполне можете обнаружить, что они начинают выдавать ошибки подключения или диалоговые окна входа. Я бы подумал, что лучше ограничить количество процессов и служб, работающих на уровне администратора, просто чтобы ограничить ущерб, который может быть нанесен, если кто-то нехороший сможет взять его под контроль. Например, у нас есть несколько систем, которым требуется доступ через прокси-сервер, и у нас есть настройка учетной записи пользователя низкого уровня исключительно для этой цели. Эта учетная запись довольно тщательно проверяется, так что любые отклонения от нормального поведения могут быть быстро обнаружены.
Однако, учитывая все вышесказанное, было бы неплохо узнать, является ли учетная запись администратора, о которой вы говорите, учетной записью администратора домена или учетной записью локального администратора ваших серверов, и как все это сочетается друг с другом.