С бюллетенем по безопасности Microsoft MS14-025, GPMC и связанные с ним инструменты теперь исправлены, чтобы больше не разрешать использование элементов конфигурации в Prefs групповой политики, которые могут включать скрытые пароли. Ссылки на бюллетень KB256345 в качестве обходного пути с использованием «устаревшего» метода настройки служб Windows с помощью групповой политики. Но, насколько мне известно, этот метод позволяет вам устанавливать только списки управления доступом для службы (и ее тип запуска) ... а не учетную запись, под которой работает служба. Я бы хотел, чтобы меня доказали, что я ошибаюсь.
Какие еще существуют способы настроить службу для работы в качестве конкретной учетной записи службы домена с помощью групповой политики? Мы не можем просто прикоснуться ко всем этим машинам вручную, чтобы настроить службу. Предположим на данный момент, что у нас нет других инструментов управления конфигурацией на базе Windows для использования, и мы застряли с групповой политикой и любыми другими встроенными инструментами, такими как Powershell.
Пока что в нашей среде мы просто заблокировали патч в WSUS. Но я ищу долгосрочное решение. Пароли, которые мы настраиваем таким образом, являются учетными записями с низким уровнем привилегий, которые не имеют значения, если их пароли скомпрометированы.
Возможно, есть решение, использующее управляемые учетные записи служб? Должны ли мы предложить какое-то решение на основе PowerShell, которое запускается при запуске? Используемые нами объекты групповой политики применяются к группам компьютеров, на которых не на всех установлена служба. Поэтому в идеале это решение не начнет спамить журнал событий с ошибками групповой политики.