概述

我正在为我们要迁移到的新域构建组策略.在我们当前的环境中,登录即服务的设置在服务器OU级别设置 – 在该字段中有大约一百个服务帐户,用于访问此权限. 我想在OU树结构中设置较低的值(我们根据运行的应用程序将服务器分开),但我们的一些内部员工根本不想设置此策略. IE：不检查组策略中的设置,并让本地服务器处理将此帐户放入其本地策略中的帐户.我们的内部安全团队希望它像我一样设置,但是那些不想要它的人包

我正在为我们要迁移到的新域构建组策略.在我们当前的环境中,登录即服务的设置在服务器OU级别设置 – 在该字段中有大约一百个服务帐户,用于访问此权限.

我想在OU树结构中设置较低的值(我们根据运行的应用程序将服务器分开),但我们的一些内部员工根本不想设置此策略. IE：不检查组策略中的设置,并让本地服务器处理将此帐户放入其本地策略中的帐户.我们的内部安全团队希望它像我一样设置,但是那些不想要它的人包括一个建筑师 – 因此冲突.

我咨询了Microsoft Premier Support(他没有正式的答案),内部员工,外部IT朋友工作人员以及数小时的互联网研究 – 但我找不到任何关于是否应该设置此政策的信息.我的直觉是通过GPO来管理它,以便可以从一个地方轻松审核和管理(我们公司不时进行各种外部审计).

@H_210_15@microsoft资源页面：https://technet.microsoft.com/en-us/library/dn221981.aspx是我能找到的关于它的唯一信息,但它表示最小化授予此用户权限的帐户数量.这对我来说似乎有点模糊……

有人可以告诉我他们对这个设置的看法吗？

The article you linked提供了登录即服务提供的权限的说明：

简而言之,您只希望为需要它的帐户提供此权限 – 默认情况下,即本地系统,本地服务和网络服务帐户,因为这些是默认情况下运行的服务.

If you wish to run a service under a different security context(就像您创建的服务帐户一样),您希望授予该服务帐户登录为服务权限,以便它可以在不需要用户登录的情况下运行您的服务.您链接的文章提供IIS和ASP以.NET为例,授予其他帐户权限;它适用于作为服务运行的第三方程序.

如果您不希望以SYstem或Networkservice的形式运行每个服务,则可以为各个服务设置服务帐户,并为其分配此“作为服务登录”权限.以这种方式使用服务帐户的主要优点是,如果您的服务受到损害,它将在运行它的帐户的安全上下文中运行,而不是SYstem和Networkservice具有的SYstem级安全上下文.

因此,最佳做法是仅将此权限分配给运行在其下的服务的帐户,并在根据principle of least privilege配置的服务帐户下运行单个服务(仅授予他们运行所需的权限;不要给他们管理员或系统权限).我想补充说,通过GPO控制它是更安全的方法.如果在每台服务器上本地控制它,那么在服务器上获得管理权限的任何人都可以控制哪些帐户可以在该服务器上运行服务,而通过GPO强制执行它需要在域级别获得适当的域权限.