背景:应用程序需要创建用户对象来包含各种用户的信息。这些用户对象仅用于存储其数据,并且用户对象不应能够登录、访问文件或执行任何操作。此外,由于应用程序的功能,用户对象无法被禁用。
用户对象在创建时默认具有什么级别的访问权限(假设一个具有 DC 和文件服务器的典型简单域)?需要做什么来锁定这些用户对象以使该访问权限无效?
答案1
默认情况下,用户帐户对 AD 中的大多数其他对象及其属性具有读取权限。您可以通过分配一个较长的随机密码并为这些帐户创建一个特殊的安全组来最大限度地减少访问权限。在默认域策略中,为该组分配以下 Windows 权限,这些权限位于计算机配置 > 策略 > Windows 设置 > 安全设置 > 用户权限分配:
- 拒绝从网络访问此计算机
- 拒绝以批处理作业形式登录
- 拒绝作为服务登录
- 拒绝本地登录
- 拒绝通过远程桌面服务登录
如果无法将帐户标记为已禁用,您可能需要测试其他帐户属性是否可以有效防止使用该帐户,例如将帐户标记为已过期(帐户选项卡>设置过去的到期日期)和/或需要智能卡。