У нас есть служба Windows, которая в настоящее время работает как LOCAL_SYSTEM - фактически локальный администратор. Одна из функций службы - предоставить новые локальные учетные записи и добавить их в определенную группу. Возможно ли следующее?
Я предполагал, что это возможно с помощью локальной политики безопасности, но похоже, что это не так. Добавление учетной записи службы к администраторам будет работать, но не поможет мне уменьшить привилегии учетной записи службы.
Все дело в том, что если сервис каким-то образом будет взломан, мы можем ограничить ущерб - хакер может создавать только учетные записи с меньшими привилегиями, чем учетная запись службы.
Обратите внимание, что это относится к локальным учетным записям, а не к учетным записям домена.
Вы можете использовать Powershell Возможности ролей JEA и создать возможность, которая позволяет локальной учетной записи использовать только команды, связанные с управлением локальными пользователями (New-LocalUser, Add-LocalGroupMember), и ограничивать разрешенные параметры таким образом, чтобы в качестве аргумента принимались только группы с низким уровнем привилегий.
Это должно помочь вам начать: