Verifique se uma conta de serviço tem privilégios interativos de logon

Question

Verifique se uma conta de serviço tem privilégios interativos de logon

#1 resposta do (1 votos)

1

Eu quero fazer o loop de todas as minhas contas de serviço de domínio e garantir que as pessoas não possam fazer logon no servidor usando essa conta.

Como posso verificar se uma conta de serviço tem privilégios de logon interativo e / ou direitos de logon remoto?

Eles não são contas de serviço gerenciadas porque são usados como contas de serviço em vários servidores.

Eu tentei gpresult /s myservername /user myusername /h gpreport.html , mas não entendi o relatório.

Houve uma seção com:

Security Group Membership when Group Policy was applied

MYDOMAIN\Domain Users
Everyone
BUILTIN\Users
BUILTIN\Administrators
NT AUTHORITY\REMOTE INTERACTIVE LOGON
NT AUTHORITY\INTERACTIVE

Estes últimos 2 permitem que esse usuário faça o login no servidor?

Ou há uma Política de Grupo que eu possa verificar e procurar usando a linha de comando?

active-directory powershell

por opticyclic 20.04.2016 / 23:59

1 resposta

Tags active-directory powershell

Mover o servidor de aplicativos do Dynamics CRM 2011 Não consigo anexar interface de rede adicional a uma instância amazon EC2 existente

score 1 · Answer 1

Esta não é uma função da conta do usuário, é uma função da configuração do computador e da (s) conta (s) do usuário.

A maneira mais fácil de negar privilégios de logon interativo de contas de serviço é com um GPO.

Abra o gerenciador de políticas de grupo e vá para Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment .

Adicione suas contas de serviço (ou se você planejou antecipadamente, um grupo de segurança, contendo suas contas de serviço) às configurações Deny log on locally e Deny log on through Terminal Services (ou Deny Log on through Remote Desktop Services , dependendo da versão do Windows).

Aplique este GPO aos computadores aos quais você deseja aplicar e pronto. (Os GPOs ainda são muito difíceis de lidar com um CLI, então eu não aconselharia essa abordagem, mas se você está empenhado em fazer dessa forma, é o que você procura e onde.)