Active-Directory
AD 中讀取計劃任務和服務資訊所需的最小授權
我正在嘗試遠端監控 Windows 伺服器(域控制器)上的計劃任務和服務(來自不同的域);我們計劃為此部分實施最低要求的委託模型;我嘗試了多個選項,但只有將服務帳戶添加到“管理員”組的方法,這是不可取的。我還能如何以最少的授權來實現這一目標?需要執行以下任務。
-> 通過“schtasks”或 powershell 命令讀取計劃任務。-> 使用 WMI 或 powershell 命令獲取 AD 服務。
如果需要任何額外資訊,請隨時告訴我。
一些售賣的解決方案可能無法為其預建的顯示器提供很大的靈活性。但是,如果您致力於在沒有管理員權限的情況下進行監控並具有一定的靈活性,您應該能夠通過閱讀 TaskScheduler 事件日誌來被動地監控計劃任務的結果。這可以由在該
Event Log Readers
組中具有成員資格的非管理員使用者完成。它是每個成員伺服器上的本地組,或 DC 日誌的域本地組。Applications and Services Logs / Microsoft / Windows / TaskScheduler / Operational
如果您的監視器需要管理員訪問權限來執行監視,您可以將其添加到管理員,並通過部署策略以拒絕該帳戶的本地登錄來稍微緩解這種情況。