什么是 System Managed Accounts Group 权限?
-
定义: System Managed Accounts Group 是一个内置安全组,包含由系统自动管理的一些特殊账户。它在 Windows Server 2012 及后续版本中引入,与托管服务账户(Managed Service Accounts, MSA)和组托管服务账户(Group Managed Service Accounts, gMSA)相关。
-
作用: 该组的权限用于支持这些系统管理账户的运行,确保它们能够执行特定任务(如运行服务)而无需手动干预。
-
SID: 其安全标识符(SID)为 S-1-5-32-581。
System Managed Accounts Group 权限的具体能力
System Managed Accounts Group 的权限取决于其成员账户的配置,默认包括:
-
文件和文件夹管理:
-
默认权限:
-
对特定服务相关的文件或文件夹有读取和执行权限。
-
例如,运行服务的 MSA/gMSA 可能需要访问配置文件或数据目录。
-
-
限制:
- 无独立的文件系统权限,具体权限由服务需求和管理员配置决定。
-
-
系统配置:
- 无权直接修改系统设置,仅支持服务运行所需的功能。
-
服务运行:
- 组成员(如 gMSA)可以以服务身份运行特定的 Windows 服务。
-
特权:
- 拥有 SeServiceLogonRight(以服务身份登录),由系统分配给组成员。
与 SYSTEM、Administrators 和其他组的关系
-
与 SYSTEM 的对比:
-
SYSTEM: 拥有最高系统权限,运行核心服务。
-
System Managed Accounts Group: 权限较低,仅限于特定服务任务。
-
-
与 Administrators 的对比:
-
Administrators: 拥有完全控制权。
-
System Managed Accounts Group: 权限受限,由系统管理。
System Managed Accounts Group: 权限受限,由系统管理。
-
-
与 Local Service/Network Service 的对比:
-
Local Service/Network Service: 固定低权限账户。
Local Service/Network Service: 固定低权限账户。 -
System Managed Accounts Group: 包含动态管理的服务账户,权限更灵活。
-
-
与 TrustedInstaller 的关系:
- 无权修改受 TrustedInstaller 保护的系统文件。
System Managed Accounts Group 权限的特点
-
默认成员: 默认包含系统创建的托管服务账户(如 gMSA),例如 COMPUTERNAME$ 或特定的 MSA。
-
自动管理: 账户密码和生命周期由系统自动维护,无需用户干预。
-
域环境: 主要在 Active Directory 域中使用,与 gMSA 紧密相关。
如何管理 System Managed Accounts Group 权限?
-
查看组成员:
-
打开“计算机管理”(compmgmt.msc)→ 本地用户和组 → 组 → System Managed Accounts Group。
-
或在域控制器上使用 AD 用户和计算机(dsa.msc)查看。
-
-
检查成员账户:
-
查看服务使用的账户:
- 服务管理(services.msc)→ 属性 → 登录选项。
-
PowerShell:Get-ADServiceAccount -Filter *(列出所有 MSA/gMSA)。
PowerShell:Get-ADServiceAccount -Filter *(列出所有 MSA/gMSA)。
-
-
配置 gMSA:
-
创建 gMSA(需域管理员权限):
- PowerShell:New-ADServiceAccount -Name "MyServiceAccount" -Enabled $true。
PowerShell:New-ADServiceAccount -name “MyServiceAccount” -enabled $true。
- PowerShell:New-ADServiceAccount -Name "MyServiceAccount" -Enabled $true。
-
将 gMSA 添加到服务:
- Set-Service -Name "服务名" -Credential (Get-Credential "DOMAIN\MyServiceAccount
”))。
- Set-Service -Name "服务名" -Credential (Get-Credential "DOMAIN\MyServiceAccount
-
-
调整权限:
-
为服务相关资源设置权限:
- 命令行:icacls "C:\path" /grant "System Managed Accounts Group:(RX)"(授予读取和执行权限)。
命令行:icacls “C:\path” /grant “System Managed Accounts Group:(RX)”(授予读取和执行权限)。
- 命令行:icacls "C:\path" /grant "System Managed Accounts Group:(RX)"(授予读取和执行权限)。
-
实际应用场景
-
企业服务: 使用 gMSA 运行 SQL Server 或 IIS 服务,自动管理密码。
-
域同步: 在域环境中,gMSA 支持跨服务器的服务一致性。
-
安全性提升: 替代手动账户,减少密码管理负担。
注意事项
-
权限依赖配置: 该组本身无固定权限,具体能力由成员账户和服务需求决定。
-
域限制: 主要在域环境中有效,单机使用较少。
-
安全性: 确保仅授权必要账户,避免滥用。
总结
System Managed Accounts Group 权限是为系统管理的服务账户(如 MSA 和 gMSA)设计的权限,支持特定服务的运行。它的权限由成员账户和配置决定,低于 SYSTEM 和 Administrators,远低于 TrustedInstaller,仅限于服务相关任务。默认包含系统创建的账户,主要在域环境中使用,适用于自动化服务管理场景