服务管理员的授权范围

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

如果你选择参与某个 Active Directory 林，则必须信任林所有者和服务管理员。 林所有者负责选择和管理服务管理员；因此，当你信任某个林所有者时，你同时会信任该林所有者管理的服务管理员。 这些服务管理员有权访问林中的所有资源。 在决定参与某个林之前，请务必了解林所有者和服务管理员对你的数据具有完全访问权限。 你无法阻止此访问。

林中的所有服务管理员对林中所有计算机上的所有数据和服务具有完全控制权限。 服务管理员能够执行以下操作：

• 更正对象的访问控制列表 (ACL) 上的错误。 这使服务管理员能够读取、修改或删除对象，不受这些对象上设置的 ACL 影响。

• 修改域控制器上的系统软件以绕过正常安全检查。 这使服务管理员能够查看或操作域中的任何对象，不受对象上的 ACL 影响。

• 使用受限组安全策略向任何用户或组授予对加入域的任何计算机的管理访问权限。 这样，无论计算机所有者的意图如何，服务管理员都可以获取对加入域的任何计算机的控制权。

• 为用户重置密码或更改组成员身份。

• 通过修改域控制器上的系统软件来访问林中的其他域。 服务管理员可以影响林中任何域的操作、查看或操作林配置数据、查看或操作存储在任何域中的数据，以及查看或操作加入林的任何计算机上存储的数据。

因此，在林中的组织单位 (OU) 中存储数据的组以及将计算机加入林的组必须信任服务管理员。 对于要加入林的组，它必须选择信任林中的所有服务管理员。 这涉及到确保：

• 林所有者可以信任，其行动符合该组的利益，并且没有理由对该组采取恶意行动。

• 林所有者适当地限制对域控制器的物理访问。 林中的域控制器无法相互隔离。 对单个域控制器具有物理访问权限的攻击者可以对目录数据库进行脱机更改，并通过这样做干扰林中任何域的操作、查看或操作存储在林中任意位置的数据，以及查看或操作加入林的任何计算机上存储的数据。 因此，必须仅允许受信任的人员对域控制器进行物理访问。

• 你了解并接受以下潜在风险：受信任的服务管理员可能会被迫危害系统安全。

一些组可能会认为，参与共享基础设施所带来的协作和成本节省优势大于服务管理员滥用或被强迫滥用其权限的风险。 这些组可以共享林并使用 OU 来委派权限。 但是，其他组可能不接受此风险，因为在安全方面让步的后果太严重。 这些组需要单独的林。