Назад | Перейти на главную страницу

Запуск задач как СИСТЕМА в DC

У меня есть несколько сценариев Powershell, которые выполняют некоторые процедуры с пользователями в AD, например cmd-let 'Set-ADAccount', 'Add-ADPrincipalGroupMembership' и тому подобное, в основном вносят изменения в AD в общем контексте.

Я тестировал и создавал запланированные задачи в одном контроллере домена, который запускает эти сценарии на регулярной основе под учетной записью SYSTEM. Это сработало.

Есть ли проблемы с запуском таких скриптов с помощью SYSTEM Account?

Есть ли разница, запускать их с помощью SYSTEM или другого пользователя домена с соответствующими разрешениями?

Запуск в качестве учетной записи SYSTEM в любом Windows-сервере, по сути, выполняется с наивысшими доступными привилегиями. SYSTEM имеет права выдавать себя за пользователей, изменять любые файлы и вообще все, что вы можете придумать.

Когда вы работаете как SYSTEM на контроллере домена, это также распространяется на вашу инфраструктуру Active Directory.

«Лучшие практики» говорят, что следует избегать запуска задачи как СИСТЕМНОЙ без необходимости из-за неприличного количества разрешений, которые эта задача получает. Кроме того, также рекомендуется избегать выполнения запланированных задач на контроллере домена.

Есть две основные проблемы. Во-первых, любые непреднамеренные ошибки, которые вы можете допустить при создании своей задачи / скрипта, могут безвозвратно вывести из строя весь ваш домен. Во-вторых, безопасность всего вашего домена зависит от целостности этого единственного файла сценария.

Мы не можем сказать вам, что делать с вашей средой, а передовой опыт применим не везде. Делайте то, что вам нужно, но помните о рисках.

Для того, чего вы хотите достичь, вы можете запустить его с кем-то из контекста, который является членом операторов учетных записей.