használati eset
néhány ügyfél csak “emelt szintű” feladatokhoz szeretne rendszergazdai fiókot használni, hasonlóan ahhoz, ahogyan a unix rendszerek támogatják a “sudo”fogalmát. Ezenkívül a unix rendszereket általában úgy konfigurálják, hogy a rendszergazdai fiókok blokkolják a közvetlen bejelentkezést. A megállapított eljárás az, hogy jelentkezzen be egy nem jogosult felhasználóval, majd szükség esetén emelje fel a feladatokat a “sudo” paranccsal.
ezeknek a fogalmaknak nincs pontos leképezése a Windows környezetbe. A Microsoft néhány lépést tett ebbe az irányba a Felhasználói fiókok ellenőrzésével. Ezenkívül a” Futtatás másként “parancs hasonló viselkedési mintát tesz lehetővé, mint a UNIX” sudo ” (bár nem azonos).
mivel sok ügyfél rendelkezik bevált gyakorlatokkal az adminisztrátori fiókok használatának elkerülésére, ahol csak lehetséges, vizsgáljuk meg, hogy engedélyezhetjük-e egy fiók használatát a “Futtatás másként” paranccsal, de megakadályozhatjuk, hogy a fiók interaktív módon jelentkezzen be az asztalra.
belső
A Windows asztalra történő hitelesítéseket (akár konzolon, akár távoli asztali hozzáférésen keresztül) “interaktív” bejelentkezéseknek nevezzük. A csoportházirend lehetővé teszi számunkra, hogy korlátozzuk az interaktív bejelentkezést, de ugyanez a házirend szabályozza a “Futtatás másként” parancs használatát is. (A Windows ugyanazt a bejelentkezési típust használja másodlagos hitelesítés létrehozásakor, annak ellenére, hogy további asztal nem jelenik meg.) Így nincs közvetlen módja (politikán keresztül) az egyik korlátozására, de a másikra nem.
a Csoportházirend lehetővé teszi, hogy a Felhasználói fiókban más “shell” legyen megadva (a normál shell “Explorer”.exe”). Ezt a funkciót arra használhatjuk, hogy az interaktív munkamenetet azonnal kijelentkezésre kényszerítsük a Windows asztal megjelenítése helyett.
Procedure
- hozzon létre vagy válasszon ki egy szervezeti egységet, amely tárolja a bejelentkezési korlátozott felhasználókat.
- felhasználók áthelyezése a csoportba (ha szükséges).
- hozzon létre egy csoportházirend-objektumot, és alkalmazza az OU-ra
- Szerkessze a csoportházirend-objektumot. Navigáljon ide:
User Configuration > Policies > Administrative Templates > System
és állítsa az “egyéni felhasználói felület” nevű házirendet “kijelentkezés” értékre.exe ”
- vegye figyelembe, hogy ez a házirend nem vonatkozik azonnal; a “gpupdate” – et kell használnia a rendszerein, ha azonnal tesztelni kívánja.
figyelmeztetések
- ehhez a beállításhoz csak igaz csoportházirendet használjon. Ne alkalmazza ezt a házirendet bizonyos gépek “Helyi” csoportházirend-objektumával, mert akkor az minden felhasználóra vonatkozik. Gyakorlatilag egyetlen felhasználó sem tud bejelentkezni a gépre (ami valószínűleg nem az, amit szeretne).
- ha ezt a házirendet tartományi rendszergazdai felhasználói fiókokra alkalmazza, akkor módosítsa azt a házirendet is, amely csak a rendszergazdáknak engedélyezi a tartományvezérlők hitelesítését. Ellenkező esetben az egyetlen felhasználó, aki bejelentkezhet a DCs-be, azonnal kijelentkezik (ami valószínűleg nem az, amit szeretne).
korlátozások
ennek az eljárásnak a célja csak a törvényes felhasználók viselkedésének irányítása azáltal, hogy megakadályozza az emelt szintű fiókjuk véletlen (vagy lusta) használatát asztali munkamenetekhez. Nem korlátozza, hogy a támadó vagy a rosszindulatú rendszergazda mit tehet a hitelesítő adataival. Emlékezzünk arra, hogy az interaktív asztalra történő hitelesítés nem szükséges a beállítások megváltoztatásához, beleértve a héj “explorer” – re történő visszaállítását.exe”.
ezért továbbra is fontos az adminisztratív felhasználók 2-faktoros hitelesítő adatokkal történő védelme.
