Предотвращение входа учетных записей служб локально или удаленно
У нас есть компания, занимающаяся разработкой для нас, и у них есть доступ к нескольким сервисным учетным записям. Компания чередует людей, и вместо того, чтобы запрашивать учетные записи, разработчики используют служебные учетные записи для входа на серверы.
Каков наилучший способ заблокировать возможность использования этой учетной записи, не затрагивая назначение учетной записи службы?
Можем ли мы безопасно установить флажок "Запретить этому пользователю вход в систему на любом сервере терминалов" в AD в профиле служб терминалов?
Если бы мы создали политику домена для предотвращения входа в систему для этого подразделения, это был бы лучший путь?
2 ответа
Вы можете создать настройки в своей локальной групповой политике (gpedit.msc) для достижения этой цели. Посмотрите под Конфигурация компьютера | Настройки Windows | Настройки безопасности | Местные Политики | Назначение прав пользователя. В частности, вы хотите запретить вход в систему как пакетное задание, запретить вход локально и запретить вход через службы терминалов.
Вы также можете настроить некоторые другие параметры здесь, такие как Доступ к этому компьютеру из сети, чтобы усилить его защиту.
Само собой разумеется, но вносите эти изменения по одному и проверяйте, правильно ли работает ваш сервис после каждого, прежде чем переходить к следующему.
На самом деле есть гораздо более простой способ. Используя активный каталог, вы можете указать машины, на которые пользователь может войти. Если вы не хотите, чтобы конкретный пользователь мог входить на любой компьютер, просто позвольте ему войти на компьютер, который не существует в вашей сети.
IE: если ваши компьютеры DT001, DT002, DT003 просто позволяют пользователю войти только DT000.