У нас есть компания, занимающаяся разработкой для нас, и у них есть доступ к нескольким сервисным аккаунтам. Компания меняет людей туда и обратно, и вместо того, чтобы запрашивать учетные записи, разработчики используют учетные записи служб для входа на серверы.
Как лучше всего заблокировать возможность использовать эту учетную запись, не влияя на назначение учетной записи службы?
Можем ли мы безопасно установить флажок «Запретить этому пользователю разрешения на вход на любой сервер терминалов» в AD в профиле служб терминалов?
Если бы мы создали политику домена для предотвращения входа в систему для этого подразделения, было бы это лучше?
Для этого вы можете создать настройки в своей локальной групповой политике (gpedit.msc). Посмотрите в разделе "Конфигурация компьютера" | Настройки Windows | Настройки безопасности | Местная политика | Распределение прав пользователей. Конкретные из них: «Запретить вход в систему в качестве пакетного задания», «Запретить вход локально» и «Запретить вход через службы терминалов».
Вы также можете настроить некоторые другие параметры здесь, например «Доступ к этому компьютеру из сети», чтобы еще больше усилить его защиту.
Само собой разумеется, но вносите эти изменения по одному и проверяйте правильность работы службы после каждого из них, прежде чем переходить к следующему.
На самом деле есть способ намного проще. Используя активный каталог, вы можете фактически указать машины, на которых пользователь может войти в систему. Если вы не хотите, чтобы конкретный пользователь мог входить в систему на какой-либо машине, просто разрешите им входить на машину, которой нет в вашей сети.
IE: если у вас компьютеры DT001, DT002, DT003, просто разрешите пользователю входить только в DT000.