我记得几年前有一篇关于如何强化 Windows 2003 服务帐户的 tech-net 或 WindowsITpro 文章。
为了备份软件的目的(例如 BackupExec / AppAsure / 等等,请不要批评这些),我必须创建一个域管理员帐户(通常称为“备份”之类的名称)并从该帐户运行服务。
在本文中,我记得您可以创建域管理员用户“Backup”,但是它无法以交互方式登录。
你们中有人记得这样的文章吗?或者知道如何去做吗?
答案1
我建议创建一个名为“DenyLogonLocally”之类的组。然后确保使用 GPO 拒绝该组本地登录。
计算机配置->策略->Windows 设置->安全设置->本地策略->用户权限->拒绝本地登录
将备份用户和其他服务帐户添加到此组。您可能需要考虑使用相同的技术,用户权限为“拒绝通过远程桌面服务登录”和“拒绝从网络访问此计算机”。
约翰的建议也很好。
答案2
有一个用户权限设置限制了交互式登录。查找本地安全策略和用户权限分配。在走得太远之前先测试一下。
您也可以使用非常长的密码/密码短语,因为您不需要经常输入它。这是强化帐户的好方法。
答案3
我确实记得看到过这样的文章,但它们实际上用太多的文字说的是:
- 限制帐户的访问权限。特别是,如果有任何方法可以避免,请不要让他们成为域管理员。
- 确保帐户凭据尽可能安全。例如,尽量不要使用明显的帐户名称,并确保密码长而强。
- 除非确实需要,否则不允许任何人访问该帐户,因此请相应地设置帐户本身的权限。
- 确保相关详细信息得到安全记录和保护。毕竟,如果您能记住它们,则说明您要么记忆力超群,要么没有选择足够安全的密码。
- 与任何其他重要帐户一样,确保定期更改密码。
不幸的是,某些备份系统(如 BackupExec)要求帐户为域管理员,尽管它真正需要的只是备份。这只是糟糕的设计,但我们用户当然无法控制它。