O que um novo objeto de usuário em um domínio do AD tem acesso por padrão?

1

Background: Um aplicativo requer que objetos de usuário sejam criados para conter informações de vários usuários. Esses objetos de usuário existem apenas para seus dados, e os objetos de usuário não devem ser capazes de efetuar login, ter acesso a arquivos ou fazer qualquer coisa. Além disso, os objetos do usuário não podem ser desativados devido à funcionalidade do aplicativo.

Qual nível de acesso um objeto de usuário tem por padrão quando é criado (assumir um domínio simples típico com um DC e um servidor de arquivos)? O que precisa ser feito para bloquear esses objetos de usuário para anular esse acesso?

    
por Bigbio2002 25.03.2015 / 19:02

1 resposta

3

Por padrão, uma conta de usuário tem acesso de leitura à maioria dos outros objetos e seus atributos no AD. Você pode minimizar o acesso atribuindo uma senha aleatória longa e criando um grupo de segurança especial para essas contas. Na Política de domínio padrão, atribua a esse grupo os seguintes direitos do Windows localizados em Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Atribuição de direitos do usuário:

  • Negar acesso a este computador pela rede
  • Negar logon como um trabalho em lotes
  • Negar logon como um serviço
  • Negar logon localmente
  • Negar logon pelos Serviços de Área de Trabalho Remota

Se marcar a conta como desativada não for uma opção, convém testar se outros atributos da conta funcionariam para impedir efetivamente que a conta fosse usada, como marcar a conta como Expirada (guia Conta > Definir data de expiração em passado) e / ou SmartCard necessário.

    
por 25.03.2015 / 19:38