为了支持我们的 Server 2003 开发服务器上的一些构建过程,我们需要一个具有管理权限的通用用户帐户。
不幸的是,这也意味着任何知道密码的人都可以获得服务器上的管理员权限。假设试图保密密码是一次失败的尝试。需要管理员权限的开发人员已经拥有管理员权限,因此应该能够以自己的身份登录。
所以问题很简单:我可以配置什么来防止人们(滥用)使用该帐户来获得他们不应该拥有管理员权限的服务器上的管理员权限?我知道开发人员可以禁用已实施的任何功能,但接下来要通过流程和审计来跟踪和管理。
我不介意在哪里或如何:它可以通过本地安全策略、组策略、在用户配置文件中执行的批处理文件或其他方式。
答案1
找到了“正确”的方法来做到这一点 - 通过组策略,我已将用户添加到设置中:Windows 设置\安全设置\用户权限分配\拒绝通过终端服务登录
这似乎有效,因此拒绝列表优先于允许列表,这正是我想要的。我确信我已经看过这个列表几次了,但之前没能发现这个设置……
答案2
此链接详细说明如何通过远程编辑注册表来允许远程服务器上的 RDP 会话。我认为您可以应用相同的原则来禁止 RDP 连接。
答案3
您可以将远程桌面权限单独分配给管理员权限,管理员默认不获得该权限,因此基本方法应该有效。您必须确保相关的管理员帐户和组不是相关系统上的远程桌面管理员组的成员。
但是,任何拥有系统完全管理权限的人都可以根据需要更改这些设置。您可以通过 GPO 强制执行设置以启用(和限制)但完全阻止具有管理员权限的人绕过这样的策略并不完全可能,你只是用 GPO 让事情变得更加困难。
不过,我认为这不是您的问题。您应该能够创建此帐户,使其成为需要的服务器上的本地管理员,但不是域范围的管理员,只需创建一个普通域帐户并将其直接添加到绝对需要的服务器即可。这在 Windows 2003 上可以很好地工作,但 Windows 2008 上安全模型的更改(由于 UAC)使其不那么简单。
如果该帐户如您所述容易被滥用,那么拒绝其在其他任何地方登录的权限可能也是一个好主意。如果您将希望此帐户工作的服务器放在 Active Directory 中的一个 OU 中,然后更改域中所有其他计算机 OU 的 GPU 用户权限分配,以拒绝该帐户在本地和远程登录的权限。
事实上,您有一个需要管理员权限的流程,这是根本问题 - 您应该集中精力尝试消除这一要求,尽管我知道在某些情况下这是不可能的,但它应该始终是您首先要考虑的事情。
答案4
我会创建一个名为 banned 的通用组(或任何您喜欢的组!)并将特定用户添加到该组。然后在相关的 RDP 服务器上,明确拒绝该组的用户,拒绝先于允许,因此即使是管理员也无法避免被拒绝服务。