Мы хотели бы установить различное программное обеспечение Windows (.exe) с помощью SCCM, но заметили, что SCCM использует учетную запись администратора домена при отправке исполняемых файлов. Таким образом, мы обеспокоены тем, что хэши паролей учетной записи и токены доступа Windows останутся на всех наших серверах и рабочих станциях после процесса установки, что, очевидно, может быть украдено и использовано для компрометации всей нашей сети с помощью передачи хеш-кода или олицетворение токена.
Каков самый безопасный способ распространять исполняемые файлы Windows по нашей сети с помощью SCCM без описанных выше рисков? Если вы будете достаточно любезны, предоставьте нам методологию и процесс в формате маркированного списка вместе с URL-адресами дополнительного учебного содержания, чтобы помочь нам, это будет очень признательно.
Заранее спасибо.
F0n.
SCCM использует несколько (ха!) Учетных записей служб. Ни одна из учетных записей «повседневной работы» не должна быть администратором домена, которого я могу запомнить (кроме, возможно, во время настройки и расширения схемы AD). Смотрите описание ролей здесь: https://technet.microsoft.com/en-us/library/hh427337.aspx
Установка исполняемых файлов выполняется либо на конечных точках с использованием локальной учетной записи SYSTEM, либо вошедшего в систему пользователя (установка для системы, установка для пользователя). Похоже, у вас возникла проблема с Учетная запись доступа к сети, который клиент использует для доступа к репозиторию пакетов.
Короче говоря, у вас есть учетная запись с несоответствующим высоким разрешением, выполняющая задачи (учетная запись доступа к сети), которые не требуют какого-либо значительного уровня разрешений.
К счастью для вас, вы можете указать здесь множество учетных записей служб в списке, чтобы не нарушить функциональность, начав распространять учетную запись с низким уровнем риска на клиентскую базу.