我目前正在根據 MS 安全性合規性管理器檢查我的工作的預設網域控制站策略 GPO,我發現的一件事是,有許多事物的使用者權限分配未出現在合規性基線中。其中許多東西看起來都是機器帳戶,例如:
- 域\IWAM_[伺服器名稱]
- 網域\SQLServer2005MSSQLUser$[伺服器名稱]$微軟##SEE
- 域\IUSR_[伺服器名稱]
我應該聽從合規經理的建議並將其刪除,還是相信 Windows 知道它在做什麼而不要管它們?
答案1
或者,本知道這些帳戶的用途,但決定不列出該信息,因為假設這裡的每個人都知道這一點,而花時間列出這些信息是沒有意義的。
“將它們移至新伺服器(當然,DNS 除外)”
為什麼是「當然」?是的,DNS 可以位於網域控制站上,但並非必須如此,並且在某些環境中將它們分開是有意義的(有時甚至在 Windows 上也是如此)。
我同意,一般來說,作為最佳實踐,SQL Embedded、IIS 等不屬於網域控制器,但可能存在特定於網站的原因使它們存在於網域控制器中。
對本的問題最簡單的回答是實際回答他所提出的問題,而不是假設一大堆可能真實或不真實或與他的特定情況相關的事情,並發布法令採取可能實際上給他帶來問題的行動更糟,而不是更好。
答案2
這些是眾所周知的服務(IIS 和 SQL)的系統帳戶,令人擔憂的是,您的第一個想法是詢問是否要刪除它們,而不是找出它們在您的環境中的用途。
這是關於 IIS 使用 ISUR 和 IWAM 的一個不錯的答案,以及 SQL 帳戶...誰知道呢。 SSEE 代表 SQL Server 嵌入式版本,我在一些基本的 SharePoint 安裝中看到過這種情況,所以這可能是它的本質,也可能是其他東西。 (SharePoint 將同時考慮 IIS 和 SQL,就其價值而言…儘管網域控制站上的 SharePoint 實在是太噁心了。)
然而,無論哪種方式,這裡重要的是你不要在不了解它是什麼和它的作用的情況下開始亂搞東西。將您的伺服器想像成一輛汽車。您根據一份有關更換機油的文件打開引擎蓋,看到了三件您不熟悉的東西。你只是想把它們拉出來看看會發生什麼/希望有最好的結果嗎?
您真正應該做的是找出網域控制站上執行的所有服務,將它們移至新伺服器(當然,DNS 除外),完成後並驗證這些帳戶不再被訪問,然後您可以安全地將它們從網域控制器中刪除。