Мне нужно настроить учетные записи пользователей для приложений, которые будут использовать их для получения списка пользователей и членства в группах из нашего домена. Таким образом, я хотел бы, чтобы эти приложения использовали учетные данные для учетных записей пользователей с минимальным доступом к моей сети, насколько это возможно.
Я создал базовых пользователей, которые не могут менять пароли, членство в группе - «Пользователи домена», и я установил пароль на неприятно длинный, случайно сгенерированный пароль.
Есть ли конкретная встроенная группа безопасности, которую я должен использовать вместо этого? Есть ли другой, более безопасный способ создания пользователей и предоставления им такого доступа?
Любая помощь будет принята с благодарностью!
Поскольку вы не упомянули никаких ограничений в отношении того, что учетная запись может читать только части каталога, я не вижу необходимости вдаваться в подробности. Группа по умолчанию «Пользователи домена» уже имеет минимальные права. Тем не менее, он имеет права читать объекты пользователей, групп и компьютеров из каталога, что вы и хотите сделать.
Я бы создал группу под названием «Учетные записи служб» или что-то подобное и добавил бы вашего специального пользователя в эту группу. Затем я бы изменил объект групповой политики уровня домена, который устанавливает параметры «Запретить вход в систему локально» и «Запретить вход через удаленный рабочий стол» для группы учетных записей служб.
Даже если кто-то скомпрометировал эту учетную запись, он не сможет интерактивно входить в систему ни на одном из компьютеров домена с ней, а также не будет иметь достаточных прав для выполнения каких-либо полезных действий с использованием входа в сеть.