我正在为希望阻止pipe理员帐户login到工作站的客户实施安全限制。
例如,每个人都有一个用户帐户和一个pipe理员帐户,只有用户帐户应该有访问权限。 pipe理员帐户用于解决问题和升级权限来解决问题。
如果我拒绝pipe理帐户的交互式login,那么将其用于“运行方式”的function也将被删除。 我还查看了“允许本地login”并只指定了正常帐户,但这意味着将pipe理员从本地允许login中删除,这会导致进一步的问题。
我目前的办法是做一个login脚本,看看用户是一个普通的帐户或pipe理员帐户,并在后一种情况下开始注销过程。 任何人都可以想到一个更好的方式做到这一点? 我们只是试图实现最低限度的特权访问,并确保pipe理员不用他们的pipe理员帐户login。
这实际上是一个人事问题,而不是IT问题。 如果具有pipe理权限的用户不能遵守规则,则不应具有pipe理权限。
即使有防止交互式login的简单方法,也没有什么可以说他们不能解决它 – 例如,他们可以终止explorer.exe并重新启动它作为pipe理员用户运行,有效地给他们一个完整的行政环境。 如果你给他们跑,你给他们一切。