Estou tentando, com muita diligência, remover tantas contas / funções com privilégios excessivos em nosso ambiente do Active Directory e do Windows (servidor e desktop). Isso significa retirar o máximo de usuários possível das funções de administração local e de administrador de domínio. (Isso inclui nossa própria equipe de segurança).
Como muitas organizações que são obrigadas a cumprir as regulamentações externas, somos obrigados a manter a separação de tarefas.
Um tipo de função interna para o qual eu mataria no Windows seria a função "Somente Leitura Local Admin" ou "Auditor". Existem várias classes de usuários que devem ter direitos para examinar todas as configurações, todos os sistemas de arquivos e executar todas as ferramentas padrão que não alteram o sistema. Dois exemplos - nossas equipes de segurança e auditores, que freqüentemente precisam de acesso não resolvido para examinar sem a possibilidade (por acaso ou design) de alterar configurações. Pode ser útil para ferramentas e contas de serviço que estupidamente "exigem" privilégios de administrador, forçando-nos a pesquisar as configurações "reais" necessárias.
Esses usuários precisam ser capazes de agir independentemente das equipes operacionais e NÃO confiar neles ou em outras pessoas para coletar informações sobre todas as configurações do sistema no nível do sistema operacional.
Resumindo - eu sei que nada como isto está embutido. Estou procurando recursos aqui --- por exemplo, scripts Powershell, que poderíamos rodar em servidores como uma linha de base para pré-estabelecer (tanto quanto possível ), o equivalente funcional do acima.
Até mesmo uma listagem de fontes de configurações sugeridas ou como seria útil. Eu tenho muitos em mente (ACLS em disco, registro, compartilhamentos), GPOs, etc, etc.
Para registro, eu vi a pergunta: É possível criar uma conta de usuário somente leitura para fins de auditoria de segurança? .
Espero que meu post seja suficientemente distinto, com explicação suficiente para atrair mais do que a única resposta recebida.