我们有一家公司为我们内部开发,他们有多个服务帐户。公司会轮换人员,开发人员无需申请帐户,而是使用服务帐户登录服务器。
在不影响服务帐户用途的情况下锁定使用该帐户的能力的最佳方法是什么?
我们可以安全地选中终端服务配置文件下 AD 中的“拒绝此用户登录任何终端服务器的权限”复选框吗?
如果我们创建一个域策略来阻止该 OU 登录,这会是更好的方法吗?
答案1
您可以在本地组策略 (gpedit.msc) 中创建设置来实现此目的。查看计算机配置 | Windows 设置 | 安全设置 | 本地策略 | 用户权限分配。您需要的具体设置是拒绝以批处理作业方式登录、拒绝本地登录和拒绝通过终端服务登录。
您还可以在此处调整一些其他设置,例如从网络访问此计算机,以进一步强化它。
不言而喻,请一次进行这些更改,并在每次更改后测试您的服务是否正常运行,然后再进行下一个更改。
答案2
实际上,还有一种更简单的方法。使用活动目录,您可以实际指定用户可以登录的机器。如果您不希望特定用户能够登录任何机器,只需允许他们登录您网络中不存在的机器即可。
例如:如果您的计算机是 DT001、DT002、DT003,则只允许用户登录 DT000。