Для поддержки некоторых процессов сборки на наших серверах разработки Server 2003 нам требуется общая учетная запись пользователя с правами администратора.
К сожалению, это также означает, что любой, кто знает пароль, также может получить права администратора на сервере. Предположим, что попытки сохранить пароль в секрете - неудачная попытка. Разработчики, которым нужны права администратора, уже имеют права администратора, поэтому должны иметь возможность входить в систему как сами.
Итак, вопрос прост: есть ли что-нибудь, что я могу настроить, чтобы запретить людям (ab) использовать учетную запись, чтобы получить администратора на серверах, на которых они не должны иметь администратора? Я знаю, что разработчики могут отключить все, что установлено, но это затем процесс и аудит для отслеживания и управления.
Я не против, где и как: это может быть через локальную политику безопасности, групповую политику, командный файл, выполняемый в профиле пользователя, или что-то еще.
Нашел «правильный» способ сделать это - через групповую политику я добавил пользователя в настройку: Параметры Windows \ Параметры безопасности \ Назначение прав пользователя \ Запретить вход через службы терминалов
Кажется, это работает, поэтому список запрещенных имеет приоритет над списком разрешенных, чего я и хочу. Я уверен, что просматривал этот список несколько раз и раньше не замечал эту настройку ...
Эта ссылка подробно описано, как разрешить сеансы RDP на удаленном сервере путем удаленного редактирования реестра. Я предполагаю, что вы можете применить тот же принцип для запрета подключений RDP.
Вы можете назначить привилегии удаленного рабочего стола отдельно административным привилегиям, и администраторы не получают привилегии по умолчанию, поэтому базовый подход должен работать. Вам нужно будет убедиться, что соответствующие учетные записи и группы администраторов не члены группы администраторов удаленного рабочего стола в рассматриваемых системах.
Однако любой человек с полными административными привилегиями в системе может изменить эти настройки, если захочет. Ты можешь принудительно применить настройки через GPO для включения (и ограничения) это, но полностью запретить кому-либо, имеющему права администратора, обойти такую политику, не совсем возможно, вы просто усложняете задачу с помощью GPO.
Я не думаю, что это твоя проблема. Вы должны иметь возможность создать эту учетную запись таким образом, чтобы она была локальным администратором на серверах, которыми она должна быть, но не администратором всего домена, просто создайте обычную учетную запись домена и добавьте ее непосредственно только на абсолютно необходимые серверы. Это будет хорошо работать в Windows 2003, но изменения модели безопасности (из-за UAC) в Windows 2008 делают ее менее простой.
Если учетная запись настолько открыта для злоупотреблений, как вы описываете, также может быть хорошей идеей отказать ей в праве входа в систему в любом другом месте. Если вы поместите серверы, на которых должна работать эта учетная запись, в одно подразделение в Active Directory, а затем измените назначение прав пользователя с помощью графического процессора для всех других подразделений компьютера в вашем домене, чтобы запретить этой учетной записи право на локальный и удаленный вход.
Тот факт, что у вас есть процесс, требующий прав администратора, является фундаментальной проблемой - вы должны сосредоточиться на попытках устранить это требование, хотя я понимаю, что есть случаи, когда это невозможно, это всегда должно быть первым, на что вы смотрите .
Я бы создал универсальную группу под названием banned (или как вам угодно!) И добавил бы конкретного пользователя в эту группу. Затем на рассматриваемом сервере RDP явно запретите пользователям из этой группы, отказы обрабатываются до разрешения, поэтому даже роль администратора не предотвратит отказ в обслуживании.