Windows

是否可以為安全審計目的創建只讀使用者帳戶?

  • November 3, 2020

一個組織需要多個管理員擔任安全審計員的角色。他們必須對 Windows Server 2008 / R2 系統具有隻讀(通過網路/遠端)訪問權限,並有權查看伺服器配置。他們不能對伺服器或網路進行任何其他更改,例如重新啟動或進行任何配置更改。

但是我找不到像這樣的使用者的任何內置設置。最接近的是“使用者”使用者組

$$ 1 $$,但是據我了解,域中的每個使用者都在該組中,無法查看域伺服器的配置。 那麼,在 Windows Server 2008 中實現只讀使用者帳戶的其他選擇是什麼?

$$ 1 $$ http://technet.microsoft.com/en-us/library/cc771990.aspx

不,這不合理。從技術上講,創建一個對所有內容都具有隻讀權限的帳戶在技術上是可行的,但這將是一項艱鉅的任務,據我所知,目前還沒有任何類似的東西存在。

問題是,預設情況下,您要查看的大多數“配置”設置只能由管理使用者訪問,他們也可以修改它們。因此,要創建一個可以訪問所有內容的只讀使用者,您基本上是在查看修改所有內容(文件系統、系統資料庫、應用程序權限)以為給定使用者添加只讀訪問權限。

像世界其他地方一樣,讓審計員在必要時向管理員索取資訊,而審計員則看著管理員檢索所需的資訊。

引用自:https://serverfault.com/questions/622814