我有一些 Powershell 腳本,它們與 AD 中的使用者一起執行一些程序,例如 cmd-let 'Set-ADAccount'、'Add-ADPrincipalGroupMembership' 等,基本上在一般情況下在 AD 中進行更改。
我在一個網域控制站中測試並建立了排程任務,該網域控制站會以系統帳戶身分定期執行這些腳本。有效。
使用 SYSTEM 帳戶執行此類腳本是否有任何問題?
使用 SYSTEM 或具有正確權限的其他網域使用者執行它們有什麼區別嗎?
答案1
在任何 Windows 機器上以 SYSTEM 帳戶運行本質上是在可用的最高權限下運行。 SYSTEM 擁有模擬使用者、修改任何檔案以及基本上您能想到的任何其他內容的權限。
當您在網域控制站上以 SYSTEM 身分執行時,這也會擴展到您的 Active Directory 基礎架構。
「最佳實踐」指出,除非必要,否則應避免以 SYSTEM 身分執行任務,因為該任務獲得的權限數量驚人。此外,也建議避免在網域控制站上執行排程任務。
主要有兩個問題。首先,您在建立任務/腳本時可能犯的任何無意錯誤都可能對您的整個領域造成不可挽回的損害。其次,整個網域的安全性取決於該腳本檔案的完整性。
我們無法告訴您如何處理您的環境,最佳實踐並不適用於所有地方。您應該做您需要做的事情,但要注意風險。
答案2
對於您想要實現的目標,您可以在帳戶操作員成員的某人的上下文中運行它。