我有一些Power
shell脚本,它们在AD中为用户制作了一些程序,比如cmd-lets’Set-ADAccount’,’Add-ADPrincipalGroupMembership’等等,在一般情况下基本上都会在AD中进行更改.
我在一个域控制器中测试并创建了计划任务,这些域控制器定期运行这些脚本,作为SYSTEM帐户运行.有效.
使用SYSTEM帐户运行此类脚本是否有任何问题?
使用具有正确权限的SYSTEM或其他域用户运行它们有什么区别吗?
在任何
Windows机器上作为SYSTEM帐户运行实际上是以可用的最高权限运行. SYSTEM具有模拟用户,修改任何文件以及您能想到的任何其他内容的权限.
当您在域控制器上作为SYSTEM运行时,它也会扩展到您的Active Directory基础结构.
“最佳实践”说,除非必要,否则由于任务获得的权限数量过多而避免将任务作为SYSTEM运行.此外,还建议避免在域控制器上运行计划任务.
有两个主要问题.首先,在创建任务/脚本时可能会出现的任何无意的错误都会使整个域无法挽回.其次,您的整个域的安全性取决于该脚本文件的完整性.
我们无法告诉您如何处理您的环境,并且最佳实践并不适用于所有地方.你应该做你需要的,但要注意风险.