为了支持我们的Server 2003开发服务器上的一些构build过程,我们需要一个具有pipe理权限的普通用户帐户。
不幸的是,这也意味着任何知道密码的人都可以在服务器上获得pipe理权限。 假设试图保持密码的秘密是一个失败的练习。 需要pipe理员权限的开发人员已经拥有pipe理权限,所以应该能够以自己的身份login。
所以这个问题很简单:有什么我可以configuration,以防止人(ab)使用帐户获得他们不应该有pipe理员的服务器pipe理员? 我知道,开发人员可以禁用任何已经到位的内容,但是这需要进行审计跟踪和pipe理。
我不介意在哪里或如何:它可以通过本地安全策略,组策略,在用户的configuration文件中执行的batch file,或其他。
find“正确”的方式来做到这一点 – 通过组策略,我已经添加到用户的设置: Windows设置\安全设置\用户权利指派\拒绝login通过terminal服务
这似乎工作,所以拒绝列表优先于允许列表,这是我想要的。 我确信我已经通过这个列表几次,但没有发现此设置之前,虽然…
此链接详细说明如何通过远程编辑registry来允许远程服务器上的RDP会话。 我假设你可以应用相同的原则来禁止RDP连接。
您可以分别将远程桌面权限分配给pipe理权限,并且pipe理员在默认情况下不会获得权限,以便基本方法可以正常工作。 您必须确保相关的pipe理员帐户和组不是远程桌面pipe理员组的成员在有问题的系统上。
但是,对系统具有完全pipe理权限的任何人都可以更改这些设置。 您可以通过GPO强制执行设置以启用(并限制)此function,但是完全防止具有pipe理员权限的人员绕过此类策略并非完全可行,您只需要使GPO更加困难。
我不认为这是你的问题。 您应该能够创build这个帐户,使其成为需要的服务器上的本地pipe理员,但不是域pipe理员,只需创build一个普通的域帐户,并直接将其添加到绝对需要的服务器上即可。 这将在Windows 2003上运行良好,但在Windows 2008上对安全模型(由于UAC)的更改使其更简单。
如果帐户像您所描述的那样受到滥用,那么拒绝login其他任何地方的权利也是一个好主意。 如果您希望将此帐户的服务器放入Active Directory中的一个OU中,然后通过GPU更改所有其他计算机OU的您的域的用户权限分配,以拒绝该帐户有权在本地和远程login。
事实上,你有一个需要pipe理权限的过程是一个根本性的问题 – 你应该专注于试图消除这一要求,虽然我明白,有些情况下,这是不可能的,它应该永远是你首先看到。
我会创build一个名为禁止的通用组(或任何您select的!),并将特定的用户添加到该组。 然后在有问题的RDP服务器上,显式拒绝来自该组的用户,在允许之前处理拒绝,所以即使作为pipe理员也不能防止拒绝服务。