我们在 Active Directory 中有 2 个域管理员帐户:“Administrator”和“Robocopy”。
Robocopy 是与执行批处理文件的计划任务相关联的服务帐户,该批处理文件运行 Robocopy(在我们的 SBS 2003 文件服务器/域控制器上)。
几年前创建此帐户时,该帐户成为“域管理员”组成员的原因是因为我无法在计划任务中分配非域管理员帐户以在服务器上运行批处理文件。
我现在想尽可能地限制“Robocopy”帐户——包括拒绝它的网络访问,这样它就不能用于登录服务器以外的任何东西。
至少,我希望从“域管理员”组中删除“Robocopy”帐户。
实现这一目标的最佳实践方法是什么?
更新:
可以使用这些默认安全组中的任何一个来实现我想要的吗?
默认域控制器组策略对象 (GPO) 中的安全策略不允许非特权用户在域控制器 (DC) 计算机上以交互方式或作为批处理作业(计划任务的运行方式)登录。使该帐户无特权(这是一个好主意)的第一个问题将是修改安全策略。
您的
cmd.exe权限也可能需要更改,因为非管理员用户被限制在 Windows 2003 中以非交互方式执行脚本。处理完这件事后,您还需要进行整理,确保运行的用户帐户
robocopy实际上有权读取和写入源位置和目标位置。由于该帐户过去一直享有特权,因此您不必担心这一点。