Назад | Перейти на главную страницу

Блокировка пользователя на автономном веб-сервере Windows

У меня Windows Web Server 2008 R2 Core, на котором работает несколько веб-сайтов. Нет AD.

Одно из веб-приложений требует проверки подлинности Windows для одного пользователя.

Я хотел бы запретить пользователю делать что-либо, кроме использования для проверки подлинности IIS Windows.

Вот что я сделал до сих пор?

Когда я выполняю команду whoami.exe / all для пользователя, он все равно получает:

GROUP INFORMATION
-----------------

Group Name                             Type             SID          Attributes                                        
====================================== ================ ============ ==================================================
Everyone                               Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
BUILTIN\Guests                         Alias            S-1-5-32-546 Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                          Alias            S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE               Well-known group S-1-5-4      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users       Well-known group S-1-5-11     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization         Well-known group S-1-5-15     Mandatory group, Enabled by default, Enabled group
LOCAL                                  Well-known group S-1-2-0      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NTLM Authentication       Well-known group S-1-5-64-10  Mandatory group, Enabled by default, Enabled group
Mandatory Label\Medium Mandatory Level Label            S-1-16-8192  Mandatory group, Enabled by default, Enabled group


PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                    State   
============================= ============================== ========
SeChangeNotifyPrivilege       Bypass traverse checking       Enabled 
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled

Почему по-прежнему отображается "BUILTIN \ Users", хотя отображается "net user":

...
Logon hours allowed          All

Local Group Memberships      *Guests
Global Group memberships     *None
The command completed successfully.

Когда пользователь подключается к общему ресурсу на сервере, он преуспевает, но затем использование подключенного диска дает ему «Доступ запрещен», потому что у него нет разрешений на общий ресурс или папку.

Что еще я могу сделать, чтобы ограничить возможности этой учетной записи?

Я обеспокоен тем, что учетные данные будут скомпрометированы, если пользователь будет использовать незащищенный компьютер с установленным регистратором клавиатуры.

Сайт разрешает только SSL, а сервер находится за брандмауэром, который разрешает только 80 и 443.

Если кто-то получает учетные данные пользователя с другого сервера в центре обработки данных, я хочу убедиться, что этот веб-сервер по-прежнему в безопасности.

«Прошедшие проверку» являются членами встроенной локальной группы «Пользователи». Поскольку учетная запись пользователя аутентифицирована, она косвенно является членом группы «Пользователи».

И нет, вы не хотите удалять прошедших проверку пользователей из группы «Пользователи».

Вы можете назначить учетной записи следующие права Windows с помощью gpedit:

Запретить вход в систему как пакетное задание
Запретить вход в систему как услуга