我公司目前正在进行networking必要authentication,所以我们需要增加pipe理帐户的安全性。
我的问题是:如何设置无法login到Windows会话的pipe理员帐户,但可以授予运行服务的权限。 例如使用“以pipe理员身份运行”function来打开需要pipe理员权限的应用程序。
这将阻止pipe理员直接访问互联网,并以双因素身份validation的forms工作,因为pipe理员需要他们的标准用户帐户以及pipe理员帐户。
我曾尝试使用GPO设置,但找不到任何有用的东西,请帮忙!
谢谢。
Runas需要能够以交互方式/本地login。
一个选项可能是使用“拒绝通过远程桌面服务login”Windows权限,并将其应用于pipe理员帐户所属的安全组。 这将减轻服务器的一些横向移动,但他们仍然能够login到控制台。
对于工作站,另一种select可能是要求使用本地帐户进行本地pipe理function,并使用Microsoft LAPS等产品来pipe理密码和轮换。
我find了一个解决scheme,对此很好,链接在这里: http : //www.authlite.com/kb/allow-runas-but-block-interactive-logon/
它将允许您创build授予权限的帐户,但仍然无法login。