我记得几年前有一个关于如何加强Windows 2003服务帐户的技术网或WindowsITpro文章。
对于备份软件的目的(如BackupExec / AppAssure /等..请不要打这些)我必须创build一个域pipe理员帐户(通常称为“备份”),并从该帐户运行的服务。
在这篇文章中,我记得你可以创build域pipe理员用户“备份”,但不能交互式login。
你们中的任何一个人是否记得这样的文章,或者知道如何去做?
我build议创build一个名为“DenyLogonLocally”的组。 然后确保该组被拒绝使用GPO在本地login。
计算机configuration – >策略 – > Windows设置 – >安全设置 – >本地策略 – >用户权限 – >拒绝loginLoccaly
将备份用户和其他服务帐户添加到此组。 您可能需要考虑与“拒绝通过远程桌面服务login”和“拒绝从networking访问此计算机”用户权限相同的技术。
约翰的秘诀也很好。
有一个限制交互式login的用户权限设置。 查找本地安全策略和用户权限分配。 testing之前,你太过分了。
您也可能使用一个非常长的密码/密码,因为您不需要经常input它。 这是加强帐户的好方法。
我记得看到这样的文章,但他们真正用太多的话说的是:
不幸的是,一些备份系统,如BackupExec,要求帐户是域pipe理员,即使备份是真正需要的。 这只是一个糟糕的devise,当然我们的用户没有任何控制权。