web-dev-qa-db-ja.com

ドメインコントローラー上の仮想サービスアカウントにアクセス許可を与える

私が実装しているサービスはドメインコントローラーで実行されるので、最小限の特権を持たせたいです。理想的には、単にローカルサービスとして実行されます。ただし、次のことができる必要があります。

  • パフォーマンスカウンターの監視(パフォーマンスモニターユーザーのメンバーになる)
  • パフォーマンスカウンター、ログ、およびアラートを管理します(パフォーマンスログユーザーのメンバーになる)
  • イベントログの読み取り(イベントログリーダーのメンバーになる)

これらのグループにローカルサービスを追加することは、明らかに良いアプローチではありません。生成された仮想サービスアカウントとしてサービスを実行すると、コンピューターのIDを使用してネットワークにアクセスできるようになりますが、これも望ましくありません。だから私は ゼロ以外のSIDタイプでローカルサービスとして実行する 、それによってVSAに与えられた特権をそれに渡したいと思います。

上記のグループにサービスのVSAを追加するのに問題があります。VSAがローカルである(ドメインコントローラー内にのみ存在する)ためだと思われます。 )、グループはドメイングループです。 それは可能ですか?

グループマネージドサービスアカウントは、手動で作成する必要がある場合、(VSAの代わりに)役立つ場合があります。

デプロイメントに前提条件がない(GMSAの作成がない)ときに、指定されたアクセス許可のみで実行するようにサービスをセットアップする正しいアプローチは何ですか?

特定のグループに固有の回答も歓迎します。

4
YaronK

ドメインコントローラーには、「ローカルアカウント」データベースがなく、ローカルサーバーグループもありません。

ローカルグループは「ドメインローカル」と呼ばれ、ドメイン内のどこでも使用できます(グループのネスト方法に関するドメインルールに従って)。 ADはDCの「ローカルアカウントデータベース」です。

ここでの最善の解決策は、[〜#〜] not [〜#〜]DC自体で実行することです。aDCは、AD内のすべてに完全にアクセスできます。これは、セキュリティ違反が発生するのを待っている可能性があります。

1
J. DuBois