use case
Noen kunder vil bare bruke en administratorkonto for «forhøyede» oppgaver, akkurat som hvordan unix-systemer støtter begrepet «sudo». I tillegg er unix-systemer ofte konfigurert til å blokkere direkte pålogging av administratorkontoer. Den etablerte prosedyren er å logge på med en uprivilegert bruker, og deretter heve oppgaver med kommandoen» sudo » der det er nødvendig.
Det er ikke en nøyaktig tilordning av disse konseptene Til Windows-miljøet. Microsoft gjorde noen skritt i denne retningen med Brukerkontokontroll. Kommandoen» kjør som » tillater også et lignende oppførselsmønster som unix «sudo» (selv om det ikke er identisk).
siden mange kunder har gode fremgangsmåter for å unngå bruk av administratorkontoer der det er mulig, la oss undersøke om vi kan tillate at en konto brukes med kommandoen «kjør som», men blokkere den kontoen fra å logge inn interaktivt på skrivebordet.
Internals
Godkjenninger Til windows-skrivebordet (enten via konsoll eller Eksternt skrivebordstilgang) kalles «Interaktive» pålogginger. Gruppepolicy tillater oss å begrense hvem som kan logge på interaktivt, men den samme policyen styrer også bruk av kommandoen «kjør som». (Windows bruker samme påloggingstype når du oppretter en sekundær godkjenning, selv om ingen ekstra skrivebord vises.) Dermed er det ikke noen direkte måte (via politikk) å begrense en, men ikke den andre.
Gruppepolicy tillater en brukerkonto å ha et annet» skall «spesifisert (det normale skallet er» Explorer.exe»). Vi kan bruke denne funksjonen til å tvinge en interaktiv økt til å logge av umiddelbart i stedet For å vise windows-skrivebordet.
Prosedyre
- Opprett Eller velg En Organisasjonsenhet som vil holde påloggingsbegrensede brukere.
- Flytt brukere inn i gruppen (om nødvendig).
- Opprett et gruppepolicyobjekt og bruk PÅ OU
- Rediger gruppepolicyobjektet. Naviger til:
User Configuration > Policies > Administrative Templates > System
og sett policyen kalt «Tilpasset Brukergrensesnitt» til » avlogging.exe «
- Merk at denne policyen ikke gjelder umiddelbart; du må bruke «gpupdate» på systemene dine hvis du har tenkt å teste med en gang.
Forsiktighetsregler
- Bruk bare sann gruppepolicy for denne innstillingen. Ikke bruk denne policyen ved å bruke det» Lokale » gruppepolicyobjektet for bestemte maskiner, fordi det vil da gjelde for alle brukere. Effektivt vil ingen brukere kunne logge på maskinen (som sannsynligvis ikke er det du vil ha).
- hvis du bruker denne policyen på brukerkontoer for domeneadministratorer, må du passe på at du også endrer policyen som bare Administratorer kan godkjenne til domenekontrollere. Ellers vil de eneste brukerne som har lov til å logge På DCs, umiddelbart bli logget av (som sannsynligvis ikke er det du vil ha).
Begrensninger
formålet med denne prosedyren er bare å veilede oppførselen til legitime brukere ved å hindre utilsiktet (eller lat) bruk av deres forhøyede konto for skrivebordsøkter. Det begrenser ikke hva en angriper eller ondsinnet administrator kan gjøre med legitimasjonen. Husk at godkjenning til det interaktive skrivebordet ikke er nødvendig for å endre en innstilling, inkludert å endre skallet tilbake til » explorer.exe».
det er derfor fortsatt viktig å sikre administrative brukere med 2-faktor legitimasjon.