Windows Server 2012 Configurando uma conta de administrador “não interativa”, apenas para dar permissão

4

A minha empresa está atualmente em processo de se tornar cibernético essencial certificada por isso precisamos aumentar a segurança conta de administrador para passar.

Minha pergunta é: Como configurar uma conta de administrador que não pode entrar em uma sessão no Windows, mas pode dar permissão para executar serviços. Por exemplo, usando o recurso "executar como administrador" para abrir aplicativos que precisam de permissão de administrador.

isso seria para evitar que os administradores têm acesso direto à Internet e trabalhar como uma forma de autenticação de dois fatores como administradores terá sua conta de usuário padrão ao lado da conta de administrador.

Eu tentei usar configurações de GPO, mas não consegui encontrar nada de útil, por favor, ajude!

Obrigado.

    
por Krystian Blaszkowicz RPG 27.02.2017 / 18:34

2 respostas

1

Runas requer a capacidade de fazer logon interativamente / localmente.

Uma opção pode ser usar o direito "Negar logon através dos Serviços de Área de Trabalho Remota" do Windows e aplicá-lo ao grupo de segurança do qual as contas de administrador são membros. Isso atenuaria parte do movimento lateral dos servidores, mas eles ainda poderiam fazer logon no console.

Para estações de trabalho, outra opção pode ser exigir o uso de uma conta local para funções administrativas locais e usar um produto como o Microsoft LAPS para gerenciar as senhas e a rotação.

    
por 27.02.2017 / 20:23
0

Eu encontrei uma solução que funciona muito bem para isso, o link está aqui: link

ele permitirá que você crie contas que concedam permissões, mas ainda assim não consiga fazer login.

    
por 28.02.2017 / 11:49