Evitar que contas de serviço efetuem login local ou remotamente

Question

Evitar que contas de serviço efetuem login local ou remotamente

#1 resposta do (7 votos)
#2 resposta do (0 votos)

5

Temos uma empresa que faz desenvolvimento para nós internamente e eles têm acesso a várias contas de serviço. A empresa alterna as pessoas para dentro e para fora e, em vez de solicitar contas, os desenvolvedores estão usando contas de serviço para fazer logon nos servidores.

Qual é a melhor maneira de bloquear a capacidade de usar essa conta sem afetar a finalidade de uma conta de serviço?

Podemos marcar com segurança a caixa de seleção "Negar este usuário para fazer logon em qualquer Terminal Server" no AD em Perfil de serviços de terminal?

Se tivéssemos criado uma política de domínio para impedir o login dessa OU, esse seria o melhor caminho a seguir?

windows security windows-terminal-services service-accounts

por Garrett 19.08.2009 / 20:07

2 respostas

0

Na verdade, existe uma maneira muito mais simples. Usando o diretório ativo, você pode especificar as máquinas nas quais um usuário pode efetuar logon. Se você não quiser que um usuário específico faça logon em qualquer máquina, simplesmente permita que ele faça logon em uma máquina que não existe na sua rede.

IE: se seus computadores forem DT001, DT002, DT003, simplesmente permita que o usuário faça logon somente no DT000.

por 08.09.2017 / 16:48

Tags windows security windows-terminal-services service-accounts

Colorir Globalmente o Terminal por Regex Comparação de desempenho de SSD + LUKS?

score 7 · Accepted Answer

Você pode criar configurações em sua política de grupo local (gpedit.msc) para conseguir isso. Procure em Computer Config | Configurações do Windows | Configurações de segurança | Políticas Locais | Atribuição de direitos de usuário. Os específicos que você deseja são Negar logon como um trabalho em lotes, Negar logon localmente e Negar logon pelos Serviços de Terminal.

Você também pode ajustar algumas das outras configurações aqui, como Acessar este computador a partir da rede, para torná-lo mais resistente.

Escusado será dizer, mas faça essas alterações uma de cada vez, e teste seu serviço funcionando corretamente após cada uma antes de prosseguir para a próxima.