Я хочу перебрать все свои учетные записи службы домена и убедиться, что люди не могут войти на сервер, используя эту учетную запись.
Как я могу проверить, есть ли у учетной записи службы права интерактивного входа и / или права удаленного входа?
Они не являются управляемыми учетными записями служб, потому что они используются в качестве учетных записей служб на нескольких серверах.
Я попытался gpresult /s myservername /user myusername /h gpreport.html но я не совсем понимаю отчет.
Был один раздел с:
Security Group Membership when Group Policy was applied
MYDOMAIN\Domain Users
Everyone
BUILTIN\Users
BUILTIN\Administrators
NT AUTHORITY\REMOTE INTERACTIVE LOGON
NT AUTHORITY\INTERACTIVE
Эти последние 2 позволяют пользователю войти на сервер?
Или есть групповая политика, которую я могу проверить и найти с помощью командной строки?
Это не функция учетной записи пользователя, это функция конфигурации компьютера И учетных записей пользователей.
Самый простой способ запретить учетным записям служб интерактивный вход в систему - использовать объект групповой политики.
Откройте диспетчер групповой политики и перейдите в Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.
Добавьте свои служебные учетные записи (или, если вы планировали заранее, группу безопасности, содержащую ваши служебные учетные записи) в Deny log on locally и Deny log on through Terminal Services (или Deny Log on through Remote Desktop Services, в зависимости от вашей версии Windows).
Примените этот объект групповой политики к компьютерам, к которым вы хотите его применить, и все готово. (Объекты групповой политики по-прежнему представляют собой довольно серьезную проблему, с которой приходится сталкиваться через CLI, поэтому я бы не советовал такой подход, но если вы настроены делать это таким образом, это то, что вам нужно искать и где.)