我正在非常努力地嘗試刪除 Active Directory 和 Windows(伺服器和桌面)環境中盡可能多的特權過高的帳戶/角色。這意味著盡可能多的使用者從本地管理員和網域管理員角色中退休。 (這包括我們自己的安全團隊)。
與許多被迫遵守外部法規的組織一樣,我們需要保持職責分離。
在 Windows 中我會放棄的內建角色是「只讀本機管理員」或「審核員」角色。有多種使用者類別,他們應該有權檢查所有設定、所有檔案系統,並運行所有不更改系統的標準工具。兩個例子-我們的安全團隊和稽核員,他們經常需要不受阻礙的存取來進行檢查,而不能(偶然或故意)更改設定。它對於愚蠢地「需要」管理員權限的工具和服務帳戶可能很有用,迫使我們研究所需的「真實」設定。
這些使用者需要能夠獨立於營運團隊行事,而不是依賴他們或其他人來收集有關作業系統層級所有系統設定的資訊。
簡而言之——我不知道內建有這樣的東西。
即使是建議設定或如何設定的來源清單也會很有用。我有很多想法(磁碟上的 ACLS、註冊表、共享)、GPO 等等。
作為記錄,我確實看到了這個問題: 是否可以建立唯讀使用者帳戶用於安全審核目的?。
我希望我的帖子足夠獨特,有足夠的解釋來吸引更多人收到的回應。