В настоящее время я проверяю GPO политики контроллера домена по умолчанию для моей работы в сравнении с MS Security Compliance Manager, и я обнаружил, что есть много вещей, для которых назначены права пользователей, которые не отображаются в базовых показателях соответствия. Многие из этих вещей выглядят как учетные записи компьютеров, например:
Должен ли я следовать советам менеджера по соблюдению требований и удалять их, или полагаться на то, что Windows знает, что делает, и оставить их в покое?
С другой стороны, Бен знает, для чего используются учетные записи, но принял решение не перечислять эту информацию, исходя из предположения, что все присутствующие это знают, и тратить время на перечисление этих вещей было бессмысленно.
"переместить их на новые серверы (кроме DNS, конечно)"
Почему конечно"? Да, DNS может находиться на ваших контроллерах домена, но это не обязательно, и есть среды, в которых имеет смысл иметь их отдельно (а иногда даже не в Windows).
Я согласен с тем, что, как правило, такие вещи, как SQL Embedded, IIS и т. Д., Не относятся к контроллерам домена в соответствии с передовой практикой, но могут быть причины для их присутствия на конкретном сайте.
Самый простой ответ на вопрос Бена - это действительно ответить на вопрос, который он задает, вместо того, чтобы предполагать целую кучу вещей, которые могут или не могут быть правдой или актуальными в его конкретных обстоятельствах, и издавать указы о действиях, которые могут действительно создать для него проблемы. скорее хуже, чем лучше.
Это хорошо известные системные учетные записи для хорошо известных служб (IIS и SQL), и довольно тревожно, что вашей первой мыслью было спросить об их удалении, вместо того, чтобы выяснять, для чего они используются в вашей среде.
Вот достойный ответ об использовании ISUR и IWAM IIS, и учетная запись SQL ... кто знает. SSEE означает SQL Server Embedded Edition, и я видел это при некоторых базовых установках SharePoint, так что это может быть то, что есть, или что-то еще. (SharePoint будет учитывать и IIS, и SQL, чего бы он ни стоил ... хотя SharePoint на контроллере домена просто ужасен.)
Однако в любом случае важно, чтобы вы не начинали возиться с вещами, не имея представления о том, что это такое и что делает. Думайте о своем сервере как о машине. Вы открыли капот на основе документа о замене масла и увидели три незнакомые вам вещи. Вы просто собираетесь выдернуть их и посмотреть, что произойдет / надеяться на лучшее?
Что вам действительно нужно сделать, так это выяснить, какие все службы работают на ваших контроллерах домена, переместить их на новые серверы (кроме DNS, конечно), и как только вы закончите это и убедитесь, что к этим учетным записям больше нет доступа. , то вы можете безопасно удалить их с контроллеров домена.