背景
在我的组织中,我们过去几乎对所有事情都使用一个特定的共享域管理员帐户(我们称之为 SharedDA)。目前,该帐户已登录到几十台服务器。真是倒霉。
现在理智的人占了上风,我们计划完全删除此 SharedDA 帐户的访问权限,最终目的是删除它,但是,我们有一定数量的技术人员,无论出于什么原因(可能是懒惰/肌肉记忆)坚持继续使用该帐户登录 Windows 服务器。
其中一些活动会话正在 GUI 中托管正在运行的进程,这些进程需要停止并在新凭据下重新启动。我们显然计划以受控的方式执行此操作,但是,随着我们摆脱我们房产周围设备上的 SharedDA 会话,它们也在不断创建。这项工作还因补救过程中涉及的最小停机时间容量非常小而受到阻碍。
我想做的是设置一个策略,拒绝本地登录到 SharedDA 帐户,目的是阻止这种“进一步,退两步”的时间浪费,但我担心这样做可能会影响当前登录的会话,我只是希望得到一些曾经这样做过或确切知道是否会发生这种情况的人的保证。
我当然可以用另一个帐户进行一些测试,并且在没有明确答案的情况下我确实会这样做,然后在这里返回我的结果。
我还知道,通过获取他们连接的客户名称,我可以相当轻松地找出谁在创建这些会话,我们实际上已经这样做了,并与相关人员进行了交谈,但他们仍在这样做。此外,我们的许多供应商都拥有这些凭证,他们过去曾获得过这些凭证,并且也习惯于使用它们(我说过坏运气了吗?)。试图阻止这种流动是一项徒劳无功的任务,因此制定了这个计划。
问题
如果我设置一条策略来拒绝特定 AD 用户本地登录,这会以任何方式影响该用户的现有登录会话吗?