Use case
jotkut asiakkaat haluavat käyttää järjestelmänvalvojan tiliä vain ”korotettuihin” tehtäviin, aivan kuten UNIX-järjestelmät tukevat ”sudo” – käsitettä. Lisäksi Unix-järjestelmät on yleensä määritetty estämään järjestelmänvalvojan tilien suora kirjautuminen. Vakiintuneena menettelynä on kirjautua unpriveged-käyttäjällä ja tarvittaessa nostaa tehtäviä ”sudo” – komennolla.
näistä käsitteistä ei ole tarkkaa kartoitusta Windows-ympäristöön. Microsoft teki joitakin askeleita tähän suuntaan Käyttäjätilien hallinta. Myös” run as ”- komento mahdollistaa samanlaisen käyttäytymismallin kuin unix” sudo ” (joskaan ei identtinen).
koska monilla asiakkailla on parhaat käytännöt välttää admin-tilien käyttöä aina kun se on mahdollista, tutkitaan, voimmeko sallia tilin käytön ”suorita nimellä” – komennolla, mutta estää tilin kirjautumisen vuorovaikutteisesti työpöydälle.
Internals
Authentications to the Windows desktop (whether via console or Remote desktop access) are known as ”Interactive” logons. Ryhmäkäytännön avulla voimme rajoittaa sitä, kuka voi kirjautua vuorovaikutteisesti, mutta tämä sama käytäntö ohjaa myös ”suorita nimellä” – komennon käyttöä. (Windows käyttää samaa kirjautumistyyppiä luodessasi toissijaista todennusta, vaikka lisätyöpöytää ei näytetä.) Siten ei ole mitään suoraa tapaa (politiikan kautta) rajoittaa yhtä, mutta ei toista.
Ryhmäkäytäntö sallii käyttäjätilille eri ”komentotulkin” määrittämisen (normaali komentotulkki on ”Explorer.exe”). Voimme käyttää tätä ominaisuutta pakottaaksemme interaktiivisen istunnon kirjautumaan ulos välittömästi sen sijaan, että näyttäisimme Windowsin työpöydän.
Procedure
- Create or select an Organizational Unit that will hold your logon-restricted users.
- siirrä käyttäjät ryhmään (tarvittaessa).
- luo ryhmäkäytäntöobjekti ja käytä OU: ta
- muokkaa ryhmäkäytäntöobjektia. Siirry kohteeseen:
User Configuration > Policies > Administrative Templates > System
ja aseta ”Custom User Interface” – niminen käytäntö muotoon ”logoff.exe ”
- huomaa, että tätä käytäntöä ei sovelleta välittömästi; Sinun on käytettävä ”gpupdate” järjestelmissäsi, jos aiot testata välittömästi.
Varoitukset
- käytä vain oikeaa ryhmäkäytäntöä tähän asetukseen. Älä käytä tätä käytäntöä käyttämällä tiettyjen koneiden” paikallista ” ryhmäkäytäntöobjektia, koska se koskee kaikkia käyttäjiä. Tehokkaasti, käyttäjät eivät voi kirjautua koneeseen (mikä ei luultavasti ole mitä haluat).
- jos käytät tätä käytäntöä toimialueen järjestelmänvalvojien käyttäjätileihin, muista myös muuttaa käytäntöä, joka sallii vain järjestelmänvalvojien todentaa toimialueen ohjaimiin. Muuten vain käyttäjät, joilla on oikeus kirjautua DCs: ään, kirjautuvat välittömästi pois (mikä ei luultavasti ole sitä, mitä haluat).
rajoitukset
tämän menettelyn tarkoituksena on vain ohjata laillisten käyttäjien käyttäytymistä estämällä heidän korotetun tilinsä tahaton (tai laiska) käyttö työpöytäsessioissa. Se ei rajoita sitä, mitä hyökkääjä tai haitallinen järjestelmänvalvoja voi tehdä tunnuksillaan. Muista, että todennus interaktiiviselle työpöydälle ei ole tarpeen minkä tahansa asetuksen muuttamiseksi, mukaan lukien niiden komentotulkin muuttaminen takaisin ”exploreriksi.exe”.
siksi on edelleen tärkeää turvata hallinnolliset käyttäjät 2-tekijän tunnuksilla.