Sdílet prostřednictvím


Zabezpečení místních účtů počítačů pomocí služby Active Directory

Účet počítače nebo účet LocalSystem je vysoce privilegovaný s přístupem k téměř všem prostředkům v místním počítači. Účet není přidružený k přihlášeným uživatelským účtům. Služby běží jako LocalSystem přístup k síťovým prostředkům tím, že předkládají přihlašovací údaje počítače vzdáleným serverům ve formátu <domain_name>\\<computer_name>$. Předdefinovaný název účtu počítače je NT AUTHORITY\SYSTEM. Službu můžete spustit a poskytnout kontext zabezpečení pro tuto službu.

Screenshot of a list of local services on a computer account.

Výhody používání účtu počítače

Účet počítače má následující výhody:

  • Neomezený místní přístup – účet počítače poskytuje úplný přístup k místním prostředkům počítače.
  • Automatická správa hesel – eliminuje potřebu ručně změněných hesel. Účet je členem služby Active Directory a jeho heslo se automaticky změní. U účtu počítače není nutné registrovat název instančního objektu.
  • Omezená přístupová práva mimo počítač – výchozí seznam řízení přístupu ve službě Doména služby Active Directory Services (AD DS) umožňuje minimální přístup k účtům počítačů. Během přístupu neoprávněným uživatelem má služba omezený přístup k síťovým prostředkům.

Posouzení stavu zabezpečení účtu počítače

V následující tabulce najdete potenciální problémy s účtem počítače a jejich zmírnění.

Problém s účtem počítače Zmírnění
Účty počítačů se můžou odstranit a znovu vytvořit, když počítač opustí doménu a znovu se připojí k doméně. Potvrďte požadavek na přidání počítače do skupiny služby Active Directory. Pokud chcete ověřit účty počítačů přidané do skupiny, použijte skripty v následující části.
Pokud přidáte účet počítače do skupiny, služby, které běží jako LocalSystem na tomto počítači, získají přístupová práva skupiny. Buďte selektivní o členství ve skupinách účtů počítače. Nevytvářejte účet počítače jako člena skupiny správců domény. Přidružená služba má úplný přístup ke službě AD DS.
Nepřesné výchozí hodnoty sítě pro LocalSystem Nepředpokládáte, že účet počítače má výchozí omezený přístup k síťovým prostředkům. Místo toho potvrďte členství ve skupinách pro tento účet.
Neznámé služby, které běží jako LocalSystem. Ujistěte se, že služby spuštěné pod účtem LocalSystem jsou služby Microsoft nebo důvěryhodné služby.

Vyhledání služeb a účtů počítačů

Pokud chcete najít služby, které běží pod účtem počítače, použijte následující rutinu PowerShellu:

Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}

Pokud chcete najít účty počítačů, které jsou členy konkrétní skupiny, spusťte následující rutinu PowerShellu:

Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf

Pokud chcete najít účty počítačů, které jsou členy skupin správců identit (správci domény, podnikoví správci a správci), spusťte následující rutinu PowerShellu:

Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"

Doporučení k účtu počítače

Důležité

Účty počítačů jsou vysoce privilegované, proto je použijte, pokud vaše služba vyžaduje neomezený přístup k místním prostředkům, na počítači a nemůžete použít účet spravované služby (MSA).

  • Potvrzení spuštění služby vlastníka služby pomocí MSA
  • Pokud to vaše služba podporuje, použijte skupinový účet spravované služby (gMSA) nebo samostatný účet spravované služby (sMSA).
  • Použití uživatelského účtu domény s oprávněními potřebnými ke spuštění služby

Další kroky

Další informace o zabezpečení účtů služeb najdete v následujících článcích: