У нас есть служба исправлений, которая представляет собой службу Windows, которая исправляет не контроллеры домена и контроллеры домена. В настоящее время мы использовали ту же учетную запись службы (account_abc
) который имеет Domain Administrator privilege
патчить все серверы
Мы планируем удалить эту привилегию по соображениям безопасности. Итак, теперь мы должны придумать решение, при котором служба исправлений (служба Windows) должна исправлять как контроллеры, не принадлежащие домену, так и контроллеры домена. Одно решение, которое мы могли придумать -
1) Сначала удалите права администратора домена для учетной записи службы (account_abc
) и создайте новую учетную запись службы (account_xyz
) принадлежащих к группе администраторов домена.
Используйте старую учетную запись (account_abc
), чтобы начать процесс установки исправлений. А затем в служебном коде Windows сначала проверьте, является ли целевой сервер (сервер, который нужно исправить) контроллером домена (где есть поле в базе данных SQL, которое сообщает, является ли он контроллером домена или нет). Если это контроллер домена, то олицетворяйте дальнейший процесс для новой учетной записи ( account_xyz
) для исправления целевого сервера, в противном случае используйте старую учетную запись (account_abc
).
Здесь я совершенно не уверен в процессе олицетворения, как это работает в службе Windows, поскольку служба Windows уже работает под старой учетной записью, а затем, как этот следующий процесс исправления необходимо изменить на новую учетную запись службы (account_xyz
)?
Я ищу здесь указатели, если есть другой лучший и простой способ сделать это.
Любая идея / предложение по этому поводу было бы действительно полезно.
Спасибо