Conceder login local, mas negar acesso RDP via GPO

Navegue suas respostas
1

Estou tentando configurar um usuário de serviço no AD. O aplicativo que será executado com essa conta requer que o usuário do serviço possa criar sessões localmente. E devido a considerações de segurança, desejo negar o acesso RDP para esse usuário.

Existem duas políticas de GPO em vigor "Login local" que concede " Permitir logon localmente "(SeInteractiveLogonRight) para membros do grupo" Logon Local "e uma segunda diretiva" Negar acesso RDP "que tenha "Deny faça logon pelos Serviços de Área de Trabalho Remota "(SeDenyRemoteInteractiveLogonRight ) para membros do conjunto "Negar acesso RDP".

O GPO "Logon localmente" tem precedência de link 1 e o GPO "Negar acesso RDP" tem precedência de link 2 na unidade organizacional do usuário do serviço no AD. Os dois GPOs têm o sinalizador "Imposta".

O problema é que, se o usuário do serviço for membro de ambos os grupos "Logon Locally" e "Deny RDP Access", o login local (por exemplo, PsExec -u <service_user> ou runas /user:<service_user> ) e o acesso RDP não serão permitidos: 

C:\>runas /user:DOMAIN\service_user "echo \"test\""
Enter the password for DOMAIN\service_user:
Attempting to start echo "test" as user "DOMAIN\service_user" ...
RUNAS ERROR: Unable to run - echo "test"
1385: Logon failure: the user has not been granted the requested logon type at this computer.

Eu já tentei criar outra política que tenha SeInteractiveLogonRight e SeDenyRemoteInteractiveLogonRight , atribuído este GPO à conta do usuário do serviço, mas sem sucesso.

Existe uma maneira de configurar as políticas de forma a poder usar o usuário em comandos runas ou PsExec, mas apenas localmente?

    
por dpr 04.05.2018 / 14:53

1 resposta

0

O GPO adicional que pode ajudá-lo com esse problema seria o logon como um trabalho em lote . Você pode negar explicitamente o RDP do objeto de usuário, enquanto ainda pode criar sessões locais.

Um pequeno trecho da guia "explicar": Por exemplo, quando um usuário envia um trabalho por meio do agendador de tarefas, o agendador de tarefas registra esse usuário como um usuário em lotes e não como um usuário interativo.

Você cria um grupo específico que armazena contas de serviço e as envia por meio de um GPO ou apenas adiciona os objetos de usuário em uma necessidade de adicionar uma base.

EDITAR: Você pode querer verificar a política Fazer logon como um serviço também se quiser se concentrar em minimizar os direitos de acesso quando necessário.

    
por 04.05.2018 / 15:52

Tags

Quais são as práticas recomendadas para configurar alarmes do CloudWatch para uma aplicação web do Tomcat? No Nagios o check_interval é usado com alertas passivos?