Защита учетных записей локальных компьютеров с помощью Active Directory

Статья
10/24/2023

Учетная запись компьютера или учетная запись LocalSystem имеет высокий уровень привилегий с доступом к почти всем ресурсам на локальном компьютере. Учетная запись не связана с учетными записями пользователей, вошедшего в систему. Службы запускаются как локальные сетевые ресурсы, предоставляя учетные данные компьютера удаленным серверам в формате <domain_name>\\<computer_name>$. Предопределенное имя NT AUTHORITY\SYSTEMучетной записи компьютера. Вы можете запустить службу и предоставить контекст безопасности для этой службы.

Screenshot of a list of local services on a computer account.

Преимущества использования учетной записи компьютера

Учетная запись компьютера имеет следующие преимущества:

Неограниченный локальный доступ — учетная запись компьютера обеспечивает полный доступ к локальным ресурсам компьютера
Автоматическое управление паролями — удаляет необходимость вручную измененных паролей. Учетная запись является членом Active Directory, и его пароль изменяется автоматически. При использовании учетной записи компьютера не требуется регистрировать имя субъекта-службы.
Ограниченные права доступа на компьютере — список управления доступом по умолчанию в службах домен Active Directory (AD DS) обеспечивает минимальный доступ к учетным записям компьютеров. Во время доступа неавторизованного пользователя служба имеет ограниченный доступ к сетевым ресурсам.

Оценка безопасности учетной записи компьютера

Используйте следующую таблицу для проверки потенциальных проблем и устранения проблем с учетной записью компьютера.

Проблема с учетной записью компьютера	Исправление
Учетные записи компьютеров удаляются и создаются повторно, когда компьютер покидает домен и снова присоединяется к нему.	Подтвердите требование, чтобы добавить компьютер в группу Active Directory. Чтобы проверить учетные записи компьютеров, добавленные в группу, используйте скрипты в следующем разделе.
При добавлении учетной записи компьютера в группу службы, которые выполняются как LocalSystem на этом компьютере, получают права доступа к группе.	Выборочная информация о членстве в группах учетных записей компьютеров. Не делайте учетную запись компьютера членом группы администраторов домена. Связанная служба имеет полный доступ к AD DS.
Неточные значения сети по умолчанию для LocalSystem.	Не предполагайте, что учетная запись компьютера имеет ограниченный доступ к сетевым ресурсам по умолчанию. Вместо этого подтвердите членство в группах для учетной записи.
Неизвестные службы, работающие от имени LocalSystem.	Убедитесь, что службы, выполняемые под учетной записью LocalSystem, являются службы Майкрософт или доверенными службами.

Поиск служб и учетных записей компьютеров

Чтобы найти службы, выполняемые под учетной записью компьютера, используйте следующий командлет PowerShell:

Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}

Чтобы найти учетные записи компьютеров, входящие в определенную группу, выполните следующий командлет PowerShell:

Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf

Чтобы найти учетные записи компьютеров, которым присвоено членство в группах администраторов удостоверений ("Администраторы домена", "Администраторы предприятия" и "Администраторы"), выполните следующий командлет PowerShell:

Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"

Следующие шаги

Дополнительные сведения о защите учетных записей служб см. в следующих статьях:

Поделиться через

Защита учетных записей локальных компьютеров с помощью Active Directory

Преимущества использования учетной записи компьютера

Оценка безопасности учетной записи компьютера

Поиск служб и учетных записей компьютеров

Рекомендации по учетной записи компьютера

Следующие шаги

Обратная связь

Дополнительные ресурсы