私が実装しているサービスはドメインコントローラーで実行されるので、最小限の特権を持たせたいです。理想的には、単にローカルサービスとして実行されます。ただし、次のことができる必要があります。
これらのグループにローカルサービスを追加することは、明らかに良いアプローチではありません。生成された仮想サービスアカウントとしてサービスを実行すると、コンピューターのIDを使用してネットワークにアクセスできるようになりますが、これも望ましくありません。だから私は ゼロ以外のSIDタイプでローカルサービスとして実行する 、それによってVSAに与えられた特権をそれに渡したいと思います。
上記のグループにサービスのVSAを追加するのに問題があります。VSAがローカルである(ドメインコントローラー内にのみ存在する)ためだと思われます。 )、グループはドメイングループです。 それは可能ですか?
グループマネージドサービスアカウントは、手動で作成する必要がある場合、(VSAの代わりに)役立つ場合があります。
デプロイメントに前提条件がない(GMSAの作成がない)ときに、指定されたアクセス許可のみで実行するようにサービスをセットアップする正しいアプローチは何ですか?
特定のグループに固有の回答も歓迎します。
ドメインコントローラーには、「ローカルアカウント」データベースがなく、ローカルサーバーグループもありません。
ローカルグループは「ドメインローカル」と呼ばれ、ドメイン内のどこでも使用できます(グループのネスト方法に関するドメインルールに従って)。 ADはDCの「ローカルアカウントデータベース」です。
ここでの最善の解決策は、[〜#〜] not [〜#〜]DC自体で実行することです。aDCは、AD内のすべてに完全にアクセスできます。これは、セキュリティ違反が発生するのを待っている可能性があります。