У нас есть 2 учетные записи администратора домена в Active Directory: «Администратор» и «Робокопия».
Robocopy - это учетная запись службы, связанная с запланированной задачей, которая выполняет пакетный файл, который запускает Robocopy (на нашем файловом сервере / контроллере домена SBS 2003).
Причина, по которой эта учетная запись была включена в группу «администраторов домена» пару лет назад при ее создании, заключалась в том, что я не мог назначить не-Учетная запись администратора домена в запланированных задачах для запуска командного файла на сервере.
Теперь я хотел бы максимально ограничить учетную запись «Robocopy», в том числе запретить ей доступ к сети, чтобы ее нельзя было использовать для входа на что-либо, кроме сервера.
По крайней мере, я хочу удалить учетную запись «Robocopy» из группы «администраторы домена».
Каков наилучший метод для этого?
Обновить:
Можно ли использовать любую из этих групп безопасности по умолчанию для достижения того, что я хочу?
Политика безопасности в объекте групповой политики (GPO) контроллеров домена по умолчанию не разрешает непривилегированным пользователям входить в систему в интерактивном режиме или в качестве пакетных заданий (как выполняются запланированные задания) на компьютерах с контроллерами домена (DC). Ваша первая проблема в том, чтобы сделать эту учетную запись непривилегированной (что является хорошая идея) будет изменять политику безопасности.
Ваш cmd.exe
разрешения может также потребоваться изменить, потому что пользователи без прав администратора не могут выполнять сценарии в неинтерактивном режиме в Windows 2003.
Как только вы позаботитесь об этом, вам также нужно будет разобраться, чтобы убедиться, что учетная запись пользователя работает robocopy
фактически имеет права на чтение и запись в исходное и целевое расположение. Поскольку в прошлом учетная запись была привилегированной, вам особо не о чем беспокоиться.