Как можно запретить вход в систему на компьютерах домена с использованием служебных учетных записей?

Question

Мариан

active-directory

Как можно запретить вход в систему на компьютерах домена с использованием служебных учетных записей?

Как можно ограничить возможность локального входа для пользователей в домене на контроллере Windows Server 2019? Все создаваемые пользователи автоматически добавляются в группу Domain Users, включая не только сотрудников, но и служебные учётные записи, такие как для сканера или для скриптов БД. Поскольку на компьютерах в домене группа Domain Users является членом локальной группы Users, как можно предотвратить возможность входа на компьютеры домена с учётной записью сканера?

19 февраля 2025 г. 12:24

Ответы на вопрос 2

Похожие вопросы

Answer 1

Чтобы запретить вход на компьютеры домена с использованием служебных учетных записей и ограничить возможность локального входа для пользователей в домене на контроллере Windows Server 2019, вы можете выполнить следующие шаги:

### 1. Создание специализированной группы

1. Создайте новую группу в Active Directory (например, назовите ее "NoLogonGroup") для учетных записей, которым нужно запретить доступ к компьютерам.
2. Поместите служебные учетные записи (например, учетные записи для сканера и скриптов) в эту группу.

### 2. Настройка прав входа в систему

1. Откройте `Group Policy Management Console` (GPMC).
2. Создайте или измените существующую Политику Группы (GPO), которая будет применяться к компьютерам в вашем домене или организационном подразделении (OU).
3. В редакторе групповой политики перейдите к следующему пути:
```
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment
```

4. Найдите политику `Deny log on locally` (Запретить вход в систему локально) и добавьте в нее вашу новую группу (например, "NoLogonGroup").
5. Также обратите внимание на политику `Deny log on through Remote Desktop Services` (Запретить вход через удаленный рабочий стол), если необходимо ограничить доступ через RDP.

### 3. Применение политики

1. Закройте редактор групповой политики и убедитесь, что новая или измененная GPO применена к необходимым объектам (OU, группам компьютеров и т.д.).
2. Перезагрузите компьютеры для применения новых настроек политики.

### 4. Дополнительные меры

- **Фильтрация на уровне учетных записей**: Для повышения безопасности вы можете рассмотреть возможность создания отдельных организационных единиц (OUs) для служебных учетных записей и соответствующих политик на уровне OU.
- **Использование сценариев логирования**: Для автоматизации управления доступом можете использовать PowerShell для дальнейшей настройки прав и автоматизации процессов.

Следуя этим шагам, вы предотвратите возможность входа в систему на компьютерах в домене с использованием служебных учетных записей, улучшив таким образом безопасность вашей сети.

Answer 2

Разрешить этим учетным записям, выдаваемые сканерам и прочим сервисам только "вход в качестве службы" или пакетного задания. 
 Читать в оригинале или тут