caso de Uso
alguns clientes desejam usar uma conta de administrador apenas para tarefas “elevadas”, assim como os sistemas unix suportam o conceito de “sudo”. Além disso, os sistemas unix são comumente configurados para bloquear o logon direto por contas de administrador. O procedimento estabelecido é fazer logon com um usuário não privilegiado e, em seguida, elevar as tarefas com o comando “sudo”, quando necessário.
não há um mapeamento exato desses conceitos para o ambiente Windows. A Microsoft fez algumas etapas nessa direção com o Controle Da Conta do Usuário. Além disso, o comando” Executar como “permite um padrão de comportamento semelhante ao unix” sudo ” (embora não idêntico).
como muitos clientes têm as melhores práticas para evitar o uso de contas de administrador sempre que possível, vamos explorar se podemos permitir que uma conta seja usada com o comando “Executar como”, mas impedir que essa conta faça login interativamente na área de trabalho.
internals
as autenticações na área de trabalho do Windows (seja via console ou acesso à área de Trabalho Remota) são conhecidas como logons “interativos”. A Política de grupo nos permite restringir quem pode fazer logon interativamente, mas essa mesma política também controla o uso do comando “Executar como”. (O Windows usa o mesmo tipo de logon quando você estabelece uma autenticação secundária, mesmo que nenhuma área de trabalho adicional seja mostrada.) Portanto, não há nenhuma maneira direta (via Política) de restringir um, mas não o outro.
a Política de grupo permite que uma conta de usuário tenha um “shell” diferente especificado (o shell normal é “Explorer.exe”). Podemos usar esse recurso para forçar uma sessão interativa a fazer logoff imediatamente, em vez de exibir a área de trabalho do Windows.
procedimento
- Crie ou selecione uma unidade organizacional que manterá seus usuários restritos ao logon.
- mova os usuários para o grupo (se necessário).
- crie um objeto de diretiva de grupo e aplique ao objeto de diretiva de grupo ou
- edite o objeto de diretiva de grupo. Navegar:
User Configuration > Policies > Administrative Templates > System
e defina a Política chamada “Custom User Interface “como” logoff.exe ”
- observe que esta política não se aplicará imediatamente; você precisará usar “gpupdate” em seus sistemas se pretender testar imediatamente.
Cuidados
- Use apenas a Política de grupo verdadeira para esta configuração. Não aplique esta política usando o objeto de política de Grupo” Local ” de máquinas específicas, pois ela se aplicará a todos os usuários. Efetivamente, nenhum usuário poderá fazer logon na máquina (o que provavelmente não é o que você deseja).
- se você aplicar esta política a contas de usuário de administrador de domínio, certifique-se também de alterar a política que permite que apenas administradores autentiquem controladores de domínio. Caso contrário, os únicos usuários autorizados a fazer logon no DCs serão imediatamente desconectados (o que provavelmente não é o que você deseja).
limitações
o objetivo deste procedimento é apenas orientar o comportamento de usuários legítimos, impedindo o uso inadvertido (ou preguiçoso) de sua conta elevada para sessões de desktop. Ele não restringe o que um invasor ou administrador malicioso pode fazer com suas credenciais. Lembre-se de que a autenticação na área de trabalho interativa não é necessária para alterar qualquer configuração, incluindo alterar seu shell de volta para “explorer.exe”.
ainda é importante, portanto, proteger usuários administrativos com credenciais de 2 fatores.