Para suportar alguns processos de criação em nossos servidores de desenvolvimento do Server 2003, exigimos uma conta de usuário comum que tenha privs administrativos.
Infelizmente, isso também significa que qualquer um que conheça a senha também pode ganhar privilégios de administrador em um servidor. Suponha que tentar manter a senha em segredo seja um exercício com falha. Os desenvolvedores que precisam de privilégios de administrador já possuem privs de administração, portanto, devem poder fazer login como eles próprios.
Portanto, a pergunta é simples: há algo que eu possa configurar para impedir que as pessoas (ab) usem a conta para obter o administrador em servidores nos quais eles não deveriam ter o administrador? Estou ciente de que os desenvolvedores podem desativar qualquer coisa que seja implementada, mas isso é necessário para processar e auditar para acompanhar e gerenciar.
Eu não me importo onde ou como: pode ser via política de segurança local, política de grupo, um arquivo de lote executado no perfil do usuário ou qualquer outra coisa.
Encontrei a maneira "correta" de fazer isso - através da diretiva de grupo, adicionei o usuário à configuração: Configurações do Windows \ Configurações de Segurança \ Atribuição de Direitos de Usuário \ Negar login através dos Serviços de Terminal
Isso parece funcionar, então a lista Negar tem precedência sobre a lista permitida, que é o que eu quero. Tenho certeza que já passei por essa lista algumas vezes e não consegui identificar essa configuração antes ...
Este link detalha como permitir sessões RDP em um servidor remoto, editando o registro remotamente. Eu suponho que você poderia aplicar o mesmo princípio para proibir conexões RDP.
Você pode atribuir privilégios de Área de Trabalho Remota separadamente a Privilégios administrativos e Administradores não recebem o privilégio por padrão para que a abordagem básica funcione. Você terá que garantir que as contas e grupos de administradores relevantes sejam não membros do grupo Administradores de Área de Trabalho Remota nos sistemas em questão.
No entanto, qualquer pessoa com privilégios administrativos totais no sistema pode alterar essas configurações, se desejar. Você pode aplicar as configurações via GPO para habilitar (e limitar) isso, mas impedir completamente que alguém que tenha direitos de administrador ignorando uma política como essa não seja totalmente possível, você só estará dificultando o uso do GPO.
Eu não acho que esse é o seu problema aqui. Você deve ser capaz de criar essa conta de modo que seja um administrador local nos servidores que precisa ser, mas não seja um administrador de domínio amplo, basta criar uma conta de domínio normal e adicioná-la diretamente apenas aos servidores absolutamente necessários. Isso funcionará bem no Windows 2003, mas alterações no modelo de segurança (por causa do UAC) no Windows 2008 o tornam menos direto.
Se a conta estiver tão aberta a abuso quanto você descreve, também pode ser uma boa ideia negar o direito de fazer login em qualquer outro lugar. Se você colocar os servidores nos quais deseja que essa conta funcione em uma unidade organizacional no Active Directory e alterar a atribuição de Direitos do usuário por GPU para todas as outras OUs de máquinas do seu domínio para negar essa conta o direito de fazer logon local e remotamente.
O fato de você ter um processo que requer direitos de administrador é o problema fundamental - você deve se concentrar em tentar eliminar esse requisito, embora eu aprecie que há casos em que isso não é possível, ele sempre deve ser a primeira coisa que você olha para.
Eu criei um grupo universal chamado banido (ou o que você escolher!) e adicione o usuário específico a esse grupo. Em seguida, no servidor RDP em questão, negar explicitamente os usuários desse grupo, as negações são processadas antes de permitir, por isso, mesmo sendo um administrador não impediria ser negado serviço.