przypadek użycia
Niektórzy klienci chcą używać konta administratora tylko do zadań „podwyższonych”, podobnie jak systemy unixowe obsługują koncepcję „sudo”. Ponadto systemy uniksowe są zwykle skonfigurowane do blokowania bezpośredniego logowania przez konta administratora. Ustaloną procedurą jest zalogowanie się z nieuprzywilejowanym użytkownikiem, a następnie podniesienie zadań za pomocą polecenia „sudo” w razie potrzeby.
nie ma dokładnego mapowania tych pojęć do środowiska Windows. Microsoft zrobił kilka kroków w tym kierunku z kontrolą konta użytkownika. Ponadto, polecenie „Uruchom jako” pozwala na podobny wzorzec zachowania jak uniksowy „sudo” (choć nie identyczny).
ponieważ wielu klientów stosuje najlepsze praktyki, aby unikać korzystania z kont administratora w miarę możliwości, zbadajmy, czy możemy zezwolić na używanie konta za pomocą polecenia „Uruchom jako”, ale zablokować To konto przed interaktywnym logowaniem na pulpit.
wewnętrzne
Uwierzytelnianie na pulpicie systemu Windows (za pośrednictwem konsoli lub zdalnego dostępu do pulpitu) jest znane jako „interaktywne” logowania. Zasady grupy pozwalają nam ograniczyć, kto może się logować interaktywnie, ale ta sama zasada kontroluje również użycie polecenia „Uruchom jako”. (System Windows używa tego samego typu logowania podczas ustanawiania dodatkowego uwierzytelniania, nawet jeśli nie jest wyświetlany dodatkowy pulpit.) Tak więc nie ma żadnego bezpośredniego sposobu (poprzez politykę) na ograniczenie jednego, ale nie drugiego.
zasady grupy pozwalają na to, aby konto użytkownika miało inną „powłokę” (normalną powłoką jest „Explorer.exe”). Możemy użyć tej funkcji, aby wymusić natychmiastowe wylogowanie interaktywnej sesji zamiast wyświetlania pulpitu Windows.
procedura
- Utwórz lub wybierz jednostkę organizacyjną, która będzie trzymać użytkowników z ograniczeniami logowania.
- Przenieś użytkowników do grupy (jeśli to konieczne).
- Utwórz obiekt zasad grupy i zastosuj do jednostki OU
- Edytuj obiekt zasad grupy. Przejdź do:
User Configuration > Policies > Administrative Templates > System
i ustaw zasadę o nazwie „Custom User Interface” na ” Wyloguj.exe ”
- zauważ, że ta zasada nie będzie obowiązywać natychmiast; będziesz musiał użyć „gpupdate” na swoich systemach, jeśli zamierzasz od razu przetestować.
Ostrzeżenia
- dla tego Ustawienia Używaj tylko prawdziwej zasady grupy. Nie stosuj tej zasady przy użyciu obiektu zasad grupy „lokalna” określonych maszyn, ponieważ będzie ona wtedy stosowana do wszystkich użytkowników. Skutecznie, żaden użytkownik nie będzie mógł zalogować się do urządzenia (co prawdopodobnie nie jest tym, czego chcesz).
- Jeśli tę zasadę stosuje się do kont użytkowników administratora domeny, należy również zmienić tę zasadę, która umożliwia uwierzytelnianie tylko administratorom kontrolerów domeny. W przeciwnym razie tylko użytkownicy, którzy mogą zalogować się do DCs, zostaną natychmiast wylogowani (co prawdopodobnie nie jest tym, czego chcesz).
ograniczenia
celem tej procedury jest jedynie kierowanie zachowaniem uprawnionych użytkowników poprzez zapobieganie nieumyślnemu (lub leniwemu) używaniu ich podwyższonego konta do sesji pulpitu. Nie ogranicza to możliwości, jakie atakujący lub złośliwy administrator może zrobić ze swoimi poświadczeniami. Przypomnijmy, że uwierzytelnianie na interaktywnym pulpicie nie jest konieczne, aby zmienić jakiekolwiek ustawienia, w tym zmienić ich powłokę z powrotem na „explorer.exe”.
nadal ważne jest zatem zabezpieczenie użytkowników administracyjnych za pomocą dwuskładnikowych poświadczeń.