В настоящее время я просматриваю GPO политики контроллера домена по умолчанию в моей работе с MS Security Compliance Manager, и одна из вещей, которую я обнаружил, заключается в том, что есть много вещей, которые имеют назначения прав пользователя, которые не отображаются в базовой линии соответствия. Многие из этих вещей выглядят как учетные записи машин, такие как:
- ДОМЕН\IWAM_[Имя сервера]
- ДОМЕН\SQLServer2005MSSQLUser$[Имя сервера]$MICROSOFT##SSEE
- ДОМЕН\IUSR_[Имя сервера]
Стоит ли мне последовать совету менеджера по соблюдению требований и удалить их или довериться тому, что Windows знает, что делает, и оставить их в покое?
решение1
С другой стороны, Бен знает, для чего используются счета, но принял решение не указывать эту информацию, полагая, что все здесь это знают, и тратить время на перечисление этих вещей было бессмысленно.
"перенести их на новые серверы (кроме DNS, конечно)"
Почему «конечно»? Да, DNS может располагаться на контроллерах домена, но это не обязательно, и существуют среды, где имеет смысл иметь их отдельно (а иногда и вовсе не в Windows).
Я согласен, что, как правило, такие вещи, как SQL Embedded, IIS и т. д., не следует размещать на контроллерах домена с точки зрения передовой практики, но могут быть причины, специфичные для конкретного сайта, по которым им там быть.
Самый простой ответ на вопрос Бена — это фактически ответить на заданный ему вопрос, а не предполагать кучу вещей, которые могут быть или не быть верными или иметь отношение к его конкретным обстоятельствам, и не отдавать распоряжения о совершении действий, которые на самом деле могут ухудшить его положение, а не улучшить его.
решение2
Это общеизвестные системные учетные записи для общеизвестных служб (IIS и SQL), и весьма тревожно, что вашей первой мыслью было спросить об их удалении, вместо того чтобы выяснить, для чего они используются в вашей среде.
Вот достойный ответ об использовании ISUR и IWAM в IISи учетная запись SQL... кто знает. SSEE означает SQL Server Embedded Edition, и я видел это в некоторых базовых установках SharePoint, так что это может быть так, или это может быть что-то еще. (SharePoint учитывает и IIS, и SQL, если это имеет значение... хотя SharePoint на контроллере домена просто ужасен.)
Однако, в любом случае, важно то, что вы не начнете возиться с вещами, не имея представления о том, что это такое и что оно делает. Подумайте о своем сервере как об автомобиле. Вы открыли капот, основываясь на документе о замене масла, и увидели три вещи, которые вам незнакомы. Вы просто собираетесь выдернуть их и посмотреть, что произойдет/надеться на лучшее?
Что вам действительно следует сделать, так это выяснить, какие службы запущены на ваших контроллерах домена, переместить их на новые серверы (кроме DNS, конечно), и как только вы это сделаете и убедитесь, что к этим учетным записям больше не осуществляется доступ, вы сможете безопасно удалить их с ваших контроллеров домена.