У меня есть несколько скриптов Powershell, которые выполняют некоторые процедуры с пользователями в AD, например, cmd-let «Set-ADAccount», «Add-ADPrincipalGroupMembership» и тому подобное, по сути, вносят изменения в AD в общем контексте.
Я протестировал и создал запланированные задачи в одном контроллере домена, который запускает эти скрипты на регулярной основе, работая под учетной записью SYSTEM. Это сработало.
Возникают ли проблемы с запуском таких скриптов с использованием учетной записи SYSTEM?
Есть ли разница между их запуском с учетной записью SYSTEM или другим пользователем домена с соответствующими правами?
решение1
Работа под учетной записью SYSTEM на любом компьютере с Windows по сути является работой с наивысшими доступными привилегиями. SYSTEM имеет разрешения выдавать себя за пользователей, изменять любые файлы и, в общем, все, что вы можете себе представить.
При работе от имени SYSTEM на контроллере домена это распространяется и на вашу инфраструктуру Active Directory.
"Best Practices" говорят, что следует избегать запуска задачи как SYSTEM без необходимости, из-за неприличного количества разрешений, которые получает эта задача. Кроме того, рекомендуется также избегать запуска запланированных задач на контроллере домена.
Есть две основные проблемы. Во-первых, любые непреднамеренные ошибки, которые вы можете допустить при создании своей задачи/скрипта, могут безвозвратно испортить весь ваш домен. Во-вторых, безопасность всего вашего домена основана на целостности этого одного файла скрипта.
Мы не можем сказать вам, что делать с вашей средой, и лучшие практики не применимы везде. Вы должны делать то, что вам нужно, но помните о рисках.
решение2
Для достижения желаемого вы можете запустить его с контекстом кого-то, кто является членом группы «Операторы счетов».