none
Интерактивный вход RRS feed

  • Вопрос

  • Господа, подскажите пож-та. есть некий портал. в нем используется несколько учеток от которых запущенны сервисы и службы.

    Как я могу запретить использование этих учеток для подключения по RDP и в качестве входа на портал.

    Спасибо

    30 июня 2014 г. 9:20

Ответы

  • Возможно, если в момент запуска учетная запись не была отключена или заблокирована - возможность входа проверяется в момент запуска сервиса.


    Слава России!

    • Помечено в качестве ответа Andrey Osinniy 30 июня 2014 г. 10:57
    30 июня 2014 г. 10:07

Все ответы

  • Запретить использование этих учетных записей ненадлежащим образом можно через локальную политику в разделе Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/Назначение прав пользователя.

    Для блокировки входа по RDP добавьте эти учетные записи в политику "Запретить вход в систему через службу теримналов" (или удаленный рабочий стол - название зависит от версии Windows Server).

    Для блокировки доступа к порталу, скорее всего, следует использовать политику "Отказ доступа к компьютеру по сети" - это обычный тип входа для доступа через веб-сайт. Тип входа в систему при обращении к порталу можете уточнить, если включите аудит успешных попыток входа в систему - он указывается в записях в журнале событий. Имейте в виду, что такая блокировка может привести к побочным эффектам (например, примененная на контроллере домена, она блокирует работу групповых политик).


    Слава России!

    • Предложено в качестве ответа R.LevchenkoMVP 30 июня 2014 г. 9:59
    30 июня 2014 г. 9:44
  • Большое спасибо. Обязательно закрою как решение.

    Подскажите еще один момент. Что то из области баек конечно, но где то слышал. Что сервисы могут работать и от имени залоченных или заблокированных учеток. При определенных манипуляциях.

    Это возможно?

    30 июня 2014 г. 10:01
  • Возможно, если в момент запуска учетная запись не была отключена или заблокирована - возможность входа проверяется в момент запуска сервиса.


    Слава России!

    • Помечено в качестве ответа Andrey Osinniy 30 июня 2014 г. 10:57
    30 июня 2014 г. 10:07
  • Интерактивный вход запрещен также и для учетных записей типа "компьютер", Managed Service Accounts (Win 2008R2+) и Group Managed Service Accounts (Win 2012R2+).

    Можете попробовать. Может даже заработает )


    Microsoft Certified Do Nothing Expert

    1 июля 2014 г. 14:05