Windows

機器帳戶成為域管理員的成員有什麼影響?

  • August 25, 2016

我最近偶然發現一個工作站帳戶是 Domain Admins 組的成員。我認為這是不推薦的,對吧?

不過,我很好奇這個星座的實際效果是什麼:每個登錄到這台機器的人都獲得了Domain Admin權限嗎?還是僅限於本地SYSTEM、SERVICE等賬戶?換句話說:安全漏洞有多大?

使用機器帳戶執行的服務將獲得域管理員權限。登錄到該機器的使用者將不會繼承此類權限。有時,如果某些由於某種原因無法以使用者身份執行的編寫錯誤的服務需要訪問整個域,則可以這樣做。另外,懶惰的管理員。

作為一個安全漏洞,它不是驚天動地的,但它應該被解決。這樣做應該沒有理由(缺少糟糕的程式碼)。

引用自:https://serverfault.com/questions/227261