Windows 7 GPO Impedir que os administradores façam logon de forma interativa, mas ainda permitam o escalonamento Executar como / permissão

3

Estou implementando restrições de segurança para um cliente que deseja impedir que contas de administrador façam login em estações de trabalho.

Por exemplo, cada pessoa tem uma conta de usuário e uma conta de administrador e somente a conta de usuário deve ter acesso. A conta de administrador é para fins de solução de problemas e para escalonamento de privilégios para resolver problemas.

Se eu negar o Logon interativo para as contas de administrador, a capacidade de usá-las para Executar como também será removida. Eu também olhei para "Permitir logon localmente" e especificando apenas as contas normais, mas isso significa remover os administradores de Permitir logon localmente, o que causa mais problemas.

Meu recurso atual é criar um script de logon que procure ver se o usuário é uma conta normal ou conta de administrador e, na última circunstância, inicie um processo de logout. Alguém pode pensar em uma maneira melhor de fazer isso? Estamos simplesmente tentando implementar o acesso com menos privilégios e garantir que os administradores não façam login com suas contas de administrador.

    
por Ben Bowman 14.07.2014 / 03:24

1 resposta

0

Esta é realmente uma questão pessoal e não um problema de TI. Se os usuários com privilégios administrativos não puderem respeitar as regras, eles não devem ter privilégios administrativos.

Mesmo se houvesse uma maneira fácil de impedir um logon interativo, não há nada a dizer que não possam contornar isso - por exemplo, eles poderiam finalizar o explorer.exe e reiniciá-lo como seu usuário administrador, dando efetivamente -los um ambiente administrativo completo. Se você der a eles como, você dá tudo a eles.

    
por 30.09.2014 / 09:36