我想循环遍历我的所有域服务帐户并确保人们不能使用该帐户登录服务器。
如何检查服务帐户是否具有交互式登录权限和/或远程登录权限?
它们不是托管服务帐户,因为它们被用作多台服务器上的服务帐户。
我尝试过gpresult /s myservername /user myusername /h gpreport.html但我真的不明白这份报告。
其中有一个部分:
Security Group Membership when Group Policy was applied
MYDOMAIN\Domain Users
Everyone
BUILTIN\Users
BUILTIN\Administrators
NT AUTHORITY\REMOTE INTERACTIVE LOGON
NT AUTHORITY\INTERACTIVE
最后这两个允许该用户登录服务器吗?
或者我可以使用命令行检查和查找组策略吗?
答案1
这不是用户帐户的功能,而是计算机配置和用户帐户的功能。
拒绝服务帐户交互式登录权限的最简单方法是使用 GPO。
打开组策略管理器,然后转到Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment。
将您的服务帐户(或者如果您提前计划,则为包含您的服务帐户的安全组)添加到和Deny log on locally(Deny log on through Terminal Services或Deny Log on through Remote Desktop Services,取决于您的 Windows 版本)设置。
将此 GPO 应用于您想要应用的计算机,然后就大功告成了。(通过 CLI 处理 GPO 仍然相当麻烦,因此我不建议采用这种方法,但如果您坚持采用这种方法,那么这就是您要寻找的,以及在哪里。)