Пытаюсь настроить пользователя службы в AD. Приложение, которое будет выполняться с этой учетной записью, требует, чтобы пользователь службы имел возможность создавать сеансы локально. И из соображений безопасности я хочу запретить доступ RDP для этого пользователя.
Существуют две политики GPO «Локальный вход в систему», которые предоставляют «Разрешить локальный вход» (SeInteractiveLogonRight) для членов группы «Локальный вход» и второй политики «Запретить доступ RDP», которая имеет «Запретить вход через службы удаленных рабочих столов» (SeDenyRemoteInteractiveLogonRight) для членов набора «Запретить доступ по RDP».
Объект групповой политики «Локальный вход в систему» имеет приоритет связи 1, а объект групповой политики «Запретить доступ RDP» имеет приоритет связи 2 в подразделении пользователя службы в AD. Оба объекта групповой политики имеют флаг «Принудительно».
Проблема в том, что, если пользователь службы является членом обеих групп «Локальный вход в систему» и «Запретить доступ по RDP», оба локального входа в систему (например, через PsExec -u <service_user> или runas /user:<service_user>) и доступ по RDP не разрешен:
C:\>runas /user:DOMAIN\service_user "echo \"test\""
Enter the password for DOMAIN\service_user:
Attempting to start echo "test" as user "DOMAIN\service_user" ...
RUNAS ERROR: Unable to run - echo "test"
1385: Logon failure: the user has not been granted the requested logon type at this computer.
Я уже пытался создать другую политику, в которой есть SeInteractiveLogonRight и SeDenyRemoteInteractiveLogonRight, назначил этот объект групповой политики учетной записи пользователя службы, но безуспешно.
Есть ли способ настроить политики таким образом, чтобы можно было использовать пользователя в командах runas или PsExec, но только локально?
Дополнительный объект групповой политики, который может помочь вам с этой проблемой, - это вход в систему как пакетное задание. Вы можете явно отказать в праве RDP объекта пользователя, сохраняя при этом возможность создавать локальные сеансы.
Небольшой отрывок из вкладки объяснения: Например, когда пользователь отправляет задание с помощью планировщика задач, планировщик задач регистрирует этого пользователя как пакетный пользователь, а не как интерактивный пользователь.
Вы создаете определенную группу, которая содержит учетные записи служб и отправляете их через GPO, или просто добавляете пользовательские объекты по мере необходимости.
РЕДАКТИРОВАТЬ: Возможно, вы захотите проверить Войти как сервис политика также, если вы хотите сосредоточиться на минимизации прав доступа там, где это необходимо.