我想遍历所有域名服务帐户,并确保用户无法使用该帐户login服务器。
如何检查服务帐户是否具有交互式login权限和/或远程login权限?
它们不是托pipe服务帐户,因为它们在多个服务器上用作服务帐户。
我尝试了gpresult /s myservername /user myusername /h gpreport.html但是我不太了解这个报告。
有一个部分:
Security Group Membership when Group Policy was applied MYDOMAIN\Domain Users Everyone BUILTIN\Users BUILTIN\Administrators NT AUTHORITY\REMOTE INTERACTIVE LOGON NT AUTHORITY\INTERACTIVE
这最后2是什么让这个用户login到服务器?
还是有一个组策略,我可以检查并寻找使用命令行?
这不是用户帐户的function,它是计算机configuration和用户帐户的function。
拒绝服务帐户交互式login权限的最简单方法是使用GPO。
打开组策略pipe理器,进入Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment 。
将您的服务帐户(或者如果您提前计划安全组,包含您的服务帐户)添加到Deny log on locally并Deny log on through Terminal Services Deny Log on through Remote Desktop Services (或Deny Log on through Remote Desktop Services ,具体取决于您的Windows版本)设置。
将此GPO应用到您希望应用的计算机上,就完成了。 (GPO在CLI上处理仍然是一个相当大的痛苦,所以我不会build议这种方法,但是如果你这样做的话,你就会死心塌地,这就是你要找的地方,以及在哪里)。