Executando tarefas como SYSTEM no DC

3

Eu tenho alguns scripts do Powershell que fazem alguns procedimentos com usuários no AD, como o cmd-lets 'Set-ADAccount', 'Add-ADPrincipalGroupMembership' e coisas assim, basicamente fazem alterações no AD, em um contexto geral.

Eu testei e criei tarefas agendadas em um Controlador de Domínio, que executa esses scripts regularmente, sendo executado como conta SYSTEM. Funcionou.

Existe algum problema ao executar esses scripts com a conta SYSTEM?

Existe alguma diferença na execução deles com o SYSTEM ou outro usuário de domínio com as permissões corretas?

    
por esserafael 14.05.2015 / 16:50

2 respostas

2

A execução da conta SYSTEM em qualquer caixa do Windows é essencialmente executada nos privilégios mais altos disponíveis. O SYSTEM tem permissões para representar usuários, modificar quaisquer arquivos e basicamente qualquer outra coisa em que você possa pensar.

Quando você executa como SYSTEM em um controlador de domínio, isso também se estende à sua infraestrutura do Active Directory.

"Práticas recomendadas" dizem para evitar executar uma tarefa como SYSTEM, a menos que seja necessário, devido à quantidade obscena de permissões que a tarefa ganha. Além disso, também é recomendável evitar a execução de tarefas agendadas em um controlador de domínio.

Existem duas preocupações principais. Primeiro, quaisquer erros inadvertidos que você possa cometer ao criar sua tarefa / script podem irremediavelmente prejudicar todo o seu domínio. Em segundo lugar, a segurança de todo o seu domínio depende da integridade desse arquivo de script.

Não podemos dizer o que fazer com seu ambiente, e as práticas recomendadas não se aplicam em todos os lugares. Você deve fazer o que precisa, mas esteja atento aos riscos.

    
por 14.05.2015 / 17:06
0

Para o que você deseja alcançar, você pode executá-lo com o contexto de alguém que é membro de Operadores de conta.

    
por 14.05.2015 / 18:07