none
如何设置,使得域管理员权限的域用户,只能作为服务启动账户,不能登录任何一台机器 RRS feed

  • 问题

  • 出于方便,我们使用了几个域管理员权限的域用户作为一些服务的启动账户,以及SQL SERVER等软件的特权账户,但是现在考虑到安全因素,不希望让这些用户可以登录任何服务器或客户端,避免域管理员滥用这些特权账户,请问有什么好办法可以让这些域管理员权限账号可以作为服务启动账户使用,但是不能直接登录到域内任何一台服务器呢?

    直接修改这几个账户的属性,将登录到设置为空行不行?会不会影响它们作为服务启动账户与域控的通信和LDAP认证?

    通过组策略,限制这几个账户不能远程登录和本地登录行不行?

    有没有什么简单有效的方法呢?

    请各位专家多多赐教,非常感谢

    2017年7月12日 8:23

全部回复

  • 策略里拒绝本地登录可行吗?
    2017年7月13日 1:37
  • 出于方便,我们使用了几个域管理员权限的域用户作为一些服务的启动账户,以及SQL SERVER等软件的特权账户,但是现在考虑到安全因素,不希望让这些用户可以登录任何服务器或客户端,避免域管理员滥用这些特权账户,请问有什么好办法可以让这些域管理员权限账号可以作为服务启动账户使用,但是不能直接登录到域内任何一台服务器呢?

    你好,

    考虑到这些用户已经是域管理账号,就算暂时禁止这些用户登录某些机器,他们还是可以把权限添加回来。

    所以,请不要把这些账号加入到域管理组,请根据实际需要只给部分特权。

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年7月13日 2:49
    版主
  • 咳咳,管理员要做什么,本来就不能完全靠技术手段防,这个无非就是应对漏洞扫描,检查结果发现无人认领的特权账号都是不能登录的,于是皆大欢喜。

    我的问题其实是:对这几个域管理员帐号,是1、配置他们帐号属性的“登录到”清单为空;还是2、在组策略里对所有OU内的机器禁止他们登录?两种方法哪种好,或者有什么更好的方法?

    因为我看到有些文档提到,有的帐号作为服务启动帐号,还必须设置域控的登录权限,如果禁用,会导致LDAP通讯失败,这样会不会影响以这些账户启动的服务和应用项目?

    谢谢@amy wang和 死之绝叫 的热心回答


    2017年7月15日 6:55