我们有一家公司在内部为我们开发,他们可以访问多个服务账户。 公司轮换人员进出,而不是请求帐户开发人员正在使用服务帐户login到服务器。
locking在不影响服务帐户用途的情况下使用该帐户的最佳方式是什么?
我们可以安全地检查“terminal服务configuration文件”下的AD中的“拒绝此用户login到任何terminal服务器的权限”checkbox吗?
如果我们创build了一个域名政策,以防止login该OU这是一个更好的方式去?
您可以在本地组策略(gpedit.msc)中创build设置来实现此目的。 查看计算机configuration| Windows设置| 安全设置| 本地政策| 用户权利分配。 你想要的特定的是拒绝login作为批处理作业,拒绝本地login和拒绝login通过terminal服务。
您也可以在此调整其他一些设置,例如从networking访问此计算机,以进一步加固。
不言而喻,而是一次一个地进行这些更改,然后在每个更改之后testing您的服务是否正常工作,然后再进行下一个更改。
其实有一个更简单的方法。 使用活动目录可以实际指定用户可以login到的机器。 如果您不希望特定用户能够login到任何机器,只需让他们login到networking中不存在的机器即可。
IE:如果您的电脑是DT001,DT002,DT003只允许用户login到DT000。