我剛從前員工手中臨時接手了 Windows 2008 Web 伺服器的管理工作。我需要盡快更改管理員密碼,但我注意到很多服務也在該帳戶下運行。所以:
- 有沒有一種快速的方法可以找出哪些服務會受到我更改密碼的影響,或是沿著清單查看的問題?
- 在我看來,以這種方式使用管理員帳戶是不正確的;我應該為這些服務建立一個不同的帳戶,還是使用管理員帳戶標準做法?
- 我意識到每個人的伺服器/網路的設定都不同,但是在更改管理員密碼時我還應該注意其他事項嗎?
謝謝
答案1
1) 您必須捲動列表,但您可以按「登入身分」列對其進行排序,這樣您就可以快速找到哪些帳戶正在使用 LocalSystem、LocalService 和 NetworkService 之外的其他帳戶。
2)這絕對是不是最佳實踐,所以,是的,您應該更改這些使用者帳戶;但在此之前,您應該檢查這些服務實際需要哪些存取權限才能正常運作。如果您要使用自訂使用者帳戶(即不是 LocalSystem、LocalService 或 NetworkService 之一),則必須至少授予它「以服務登入」權限。
3) 您應該檢查該伺服器上的排程任務,並檢查是否有其他應用程式使用管理員帳戶透過網路連接到該伺服器。作為一個 Web 伺服器,我也會檢查 IIS 中的應用程式集區標識,儘管讓它們以管理員身份運行是非常不明智的;但服務也是如此,所以......
答案2
我在這裡可能是錯的,但我認為只要該用戶登錄,無論管理員帳戶的密碼如何,服務都會啟動。錯誤或登入對話框。我認為最好限制在管理員級別運行的進程和服務的數量,純粹是為了限制如果壞人能夠控制它可能發生的損害。例如,我們有幾個系統需要透過代理伺服器進行訪問,並且純粹出於此目的而設定了低階使用者帳戶。該帳戶經過非常嚴格的審核,以便可以快速發現任何偏離正常行為的行為。
話雖如此,但很高興知道您引用的管理員帳戶是伺服器的網域管理員帳戶還是本機管理員帳戶以及它們如何組合在一起。