管理者アカウントに「実行」を許可しますが、デスクトップにログオンしませんか?

ユースケース

一部の顧客は、unixシステムが”sudo”の概念をサポートする方法のように、”昇格された”タスクにのみ管理者アカウントを使用したいと考えています。 さらに、unixシステムは一般に、管理者アカウントによる直接ログオンをブロックするように構成されています。 確立された手順は、特権のないユーザーでログオンし、必要に応じて”sudo”コマンドでタスクを昇格させることです。

これらの概念をWindows環境に正確にマッピングすることはできません。 Microsoftは、ユーザーアカウント制御でこの方向にいくつかの手順を実行しました。 また、”run as”コマンドは、unixの”sudo”と同様の動作パターンを可能にします(同一ではありませんが)。

多くのお客様は、可能な限り管理者アカウントの使用を避けるためのベストプラクティスを持っているので、”run as”コマンドでアカウントを使用できる

内部

Windowsデスクトップへの認証(コンソールまたはリモートデスクトップアクセスを介したものかどうかにかかわらず)は、”対話型”ログオンと呼ばれます。 グループポリシーを使用すると、対話的にログオンできるユーザーを制限できますが、これと同じポリシーで”run as”コマンドの使用も制御されます。 (追加のデスクトップが表示されない場合でも、windowsはセカンダリ認証を確立するときに同じログオンの種類を使用します。)したがって、一方を制限する直接的な方法は(ポリシーを介して)ありませんが、他方を制限する方法はありません。

グループポリシーは、ユーザーアカウントに別の”シェル”を指定することを許可します(通常のシェルは”エクスプローラです。exe”)。 この機能を使用すると、windowsデスクトップを表示するのではなく、対話型セッションを強制的にすぐにログオフできます。

手順

  • ログオンが制限されたユーザーを保持する組織単位を作成または選択します。
  • ユーザーをグループに移動します(必要に応じて)。
  • グループポリシーオブジェクトを作成し、OUに適用します
  • グループポリシーオブジェクトを編集します。 に移動します:
    User Configuration > Policies > Administrative Templates > System

    “Custom User Interface”という名前のポリシーを”logoff”に設定します。exe”

  • このポリシーはすぐには適用されないことに注意してください。

注意事項

  • この設定には真のグループポリシーのみを使用してください。 このポリシーはすべてのユーザーに適用されるため、特定のマシンの”ローカル”グループポリシーオブジェクトを使用してこのポリシーを適用しないでください。 事実上、ユーザーはマシンにログオンできません(これはおそらくあなたが望むものではありません)。
  • このポリシーをドメイン管理者ユーザーアカウントに適用する場合は、管理者のみがドメインコントローラーへの認証を許可するポリシーも変更してくださ それ以外の場合は、Dcへのログオンを許可された唯一のユーザーがすぐにログオフされます(これはおそらくあなたが望むものではありません)。

制限事項

この手順の目的は、デスクトップセッションに対する昇格されたアカウントの不注意な(または遅延した)使用を防ぐことによって、正当なユー これは、攻撃者または悪意のある管理者が自分の資格情報で行うことができるものを制限するものではありません。 シェルを”エクスプローラ”に戻すなど、設定を変更するには、対話型デスクトップへの認証は必要ないことを思い出してください。exe”。

したがって、2要素資格情報を持つ管理ユーザーを保護することは依然として重要です。

コメントを残す

メールアドレスが公開されることはありません。