У меня Windows Web Server 2008 R2 Core, на котором работает несколько веб-сайтов. Нет AD.
Одно из веб-приложений требует проверки подлинности Windows для одного пользователя.
Я хотел бы запретить пользователю делать что-либо, кроме использования для проверки подлинности IIS Windows.
Вот что я сделал до сих пор?
Когда я выполняю команду whoami.exe / all для пользователя, он все равно получает:
GROUP INFORMATION
-----------------
Group Name Type SID Attributes
====================================== ================ ============ ==================================================
Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group
BUILTIN\Guests Alias S-1-5-32-546 Mandatory group, Enabled by default, Enabled group
BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group
LOCAL Well-known group S-1-2-0 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NTLM Authentication Well-known group S-1-5-64-10 Mandatory group, Enabled by default, Enabled group
Mandatory Label\Medium Mandatory Level Label S-1-16-8192 Mandatory group, Enabled by default, Enabled group
PRIVILEGES INFORMATION
----------------------
Privilege Name Description State
============================= ============================== ========
SeChangeNotifyPrivilege Bypass traverse checking Enabled
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled
Почему по-прежнему отображается "BUILTIN \ Users", хотя отображается "net user":
...
Logon hours allowed All
Local Group Memberships *Guests
Global Group memberships *None
The command completed successfully.
Когда пользователь подключается к общему ресурсу на сервере, он преуспевает, но затем использование подключенного диска дает ему «Доступ запрещен», потому что у него нет разрешений на общий ресурс или папку.
Что еще я могу сделать, чтобы ограничить возможности этой учетной записи?
Я обеспокоен тем, что учетные данные будут скомпрометированы, если пользователь будет использовать незащищенный компьютер с установленным регистратором клавиатуры.
Сайт разрешает только SSL, а сервер находится за брандмауэром, который разрешает только 80 и 443.
Если кто-то получает учетные данные пользователя с другого сервера в центре обработки данных, я хочу убедиться, что этот веб-сервер по-прежнему в безопасности.
«Прошедшие проверку» являются членами встроенной локальной группы «Пользователи». Поскольку учетная запись пользователя аутентифицирована, она косвенно является членом группы «Пользователи».
И нет, вы не хотите удалять прошедших проверку пользователей из группы «Пользователи».
Вы можете назначить учетной записи следующие права Windows с помощью gpedit:
Запретить вход в систему как пакетное задание
Запретить вход в систему как услуга