Назад | Перейти на главную страницу

Изменение пароля администратора на веб-сервере Windows 2008

Я только что взял на себя управление веб-сервером Windows 2008 от предыдущего сотрудника на временной основе. Мне нужно изменить пароль администратора, как только я смогу, но я заметил, что довольно много служб также работают под этой учетной записью. Так:

  1. Есть ли быстрый способ узнать, на какие службы повлияет изменение пароля, или это вопрос перехода по списку?
  2. Мне кажется неправильным, что учетная запись администратора используется таким образом; я должен создать другую учетную запись для этих служб, или я использую стандартную практику администратора a / c?
  3. Я понимаю, что все серверы / сети настроены по-разному, но есть ли еще какие-то моменты, о которых мне следует знать при изменении пароля администратора?

Спасибо

1) Вам придется прокручивать список, но вы можете отсортировать его по столбцу «Log On As», чтобы вы могли быстро найти, какие из них используют другие учетные записи, кроме LocalSystem, LocalService и NetworkService.

2) Это определенно не Лучшая практика, так что да, вам следует изменить эти учетные записи пользователей; но перед этим вы должны проверить, какие права доступа действительно необходимы этим службам для работы. Если вы собираетесь использовать настраиваемую учетную запись пользователя (то есть не одну из LocalSystem, LocalService или NetworkService), вам нужно хотя бы предоставить ей право «Вход в систему как услуга».

3) Вы должны проверить запланированные задачи на этом сервере, а также проверить, подключается ли какое-либо другое приложение к этому серверу по сети с помощью учетной записи администратора. Поскольку это веб-сервер, я бы также проверил идентификаторы пула приложений в IIS, хотя было бы очень неразумно запускать их от имени администратора; но то же самое и с услугами, так что ...

Я могу ошибаться здесь, но я мог подумать, что службы будут запускаться независимо от пароля для учетной записи администратора, пока этот пользователь вошел в систему. Сказав, что если им требуется доступ через прокси-сервер, вы вполне можете найти их начать выдавать ошибки подключения или диалоговые окна входа в систему. Я бы подумал, что лучше всего ограничить количество процессов и сервисов, работающих на уровне администратора, просто чтобы ограничить ущерб, который может возникнуть, если кто-то противный сможет взять их под контроль. Например, у нас есть несколько систем, которым требуется доступ через прокси-сервер, и для которых настроена учетная запись пользователя низкого уровня. Эта учетная запись достаточно тщательно проверяется, чтобы можно было быстро выявить любые отклонения от нормального поведения.

Сказав все это, было бы неплохо узнать, является ли учетная запись администратора, на которую вы ссылаетесь, учетной записью администратора домена или учетной записью локального администратора для ваших серверов, и как все это сочетается друг с другом.