Queremos usar instâncias VMSS como nosso pool de agentes do Azure Devops. O pool de agentes implanta a extensão de máquina virtual TeamServicesAgent nas instâncias implementadas. Esta extensão chama o script: https://vstsagenttools.blob.core.windows.net/tools/ElasticPools/Windows/17/enableagent.ps1
Neste script o usuário azdevops é criado e adicionado ao grupo Administradores. Não achamos isso muito seguro e gostaríamos de aplicar um cenário de privilégio mínimo a este usuário.
Existe uma forma oficial ou uma boa alternativa para chegar até aqui? Eu criei uma solução alternativa onde hospedamos esse script em uma conta de armazenamento e, em seguida, pulamos a parte Adicionar ao administrador e, em seguida, fornecemos ao usuário SeBatchLogonRight. Isso funciona, mas eu gostaria de uma maneira mais robusta de chegar lá.
Além disso, parece não haver documentação sobre a extensão TeamServicesAgent. Quais parâmetros são permitidos etc.
Você tem sugestões para mim?
Agradecemos antecipadamente a todos por pensarem comigo,
Natan
Eu olhei para o roteiro. Estou bastante surpreso que ele esteja adicionando o usuário ao grupo de administradores, em vez de adicionar corretamente as permissões necessárias e fazer logon em lote diretamente para um usuário padrão - como você fez corretamente. É desleixado e não é seguro.
Vasculhei a rede e não encontrei nada mais robusto. Quanto a oficial, bem, este script é oficial. Mas parece que algum processo falhou aqui, porque uma análise de segurança deveria ter detectado isso... 17 vezes.
Eu recomendo que você relate isso à Microsoft. Você pode fazer isso aqui.
https://www.microsoft.com/en-us/msrc
A razão pela qual estou cedendo a você é que eles têm um programa de recompensas. Não tenho certeza se isso se qualificaria para uma recompensa, mas você descobriu e provavelmente já implementou a solução em seu script adaptado. Então você merece o crédito, é claro.
E então, acho que a resposta é... a MS precisa atualizar esse script.