Я очень стараюсь удалить как можно больше привилегированных учетных записей / ролей в нашей среде Active Directory и Windows (сервер и рабочий стол). Это означает удаление как можно большего числа пользователей из ролей локального администратора и администратора домена. (Это включает в себя нашу собственную команду безопасности).
Как и многие организации, которые вынуждены соблюдать внешние правила, от нас требуется поддерживать разделение обязанностей.
Один из типов встроенных ролей, за которые я бы отказался в Windows, - это роль «локального администратора только для чтения» или «аудитора». Есть несколько классов пользователей, которые должны иметь права проверять все настройки, все файловые системы и запускать все стандартные инструменты, которые не изменяют систему. Два примера - наши группы безопасности и аудиторы, которым часто требуется беспрепятственный доступ для проверки без возможности (случайно или намеренно) изменить настройки. Это может быть полезно для инструментов и учетных записей служб, которые по глупости «требуют» прав администратора, вынуждая нас исследовать «реальные» необходимые настройки.
Эти пользователи должны иметь возможность действовать независимо от операционных групп и НЕ полагаться на них или других лиц при сборе информации обо всех параметрах системы на уровне ОС.
Вкратце - я не знаю, что это встроено. Я ищу здесь ресурсы - например, сценарии Powershell, которые мы могли бы запускать на серверах в качестве основы для предварительной установки (насколько это возможно) функциональный эквивалент вышеперечисленного.
Даже исходный список предлагаемых настроек или способов их использования был бы полезен. Я имею в виду многие (ACLS на диске, реестр, общие ресурсы), объекты групповой политики и т. Д. И т. Д.
Для протокола, я действительно видел вопрос: Можно ли создать учетную запись пользователя только для чтения в целях аудита безопасности?.
Я надеюсь, что мой пост достаточно отчетлив и содержит достаточно объяснений, чтобы привлечь больше, чем один полученный ответ.