サービスアカウントがローカルまたはリモートにログインしないようにする

私たちは私たちのために社内で開発をしており、いくつかのサービスアカウントにアクセスしています。同社は人の出入りを調整し、アカウントを要求する代わりに開発者はサービスアカウントを使用してサーバーにログオンしています。

サービスアカウントの目的に影響を与えずにそのアカウントを使用する機能をロックアウトする最良の方法は何ですか?

ターミナルサービスプロファイルのADで「このユーザーのアクセス許可を拒否して、ターミナルサーバーにログオンする」チェックボックスをオンにしても問題ありませんか?

そのOUのログインを阻止するドメインポリシーを作成した方が良い方法でしょうか?

5
nl ru de

2 答え

これを実現するには、ローカルグループポリシー(gpedit.msc)で設定を作成できます。コンピュータ構成| Windowsの設定|セキュリティ設定|ローカルポリシー|ユーザー権利の割り当て。必要な特定のものは、バッチジョブとしてのログオンの拒否、ローカルでのログオンの拒否、およびターミナルサービスによるログオンの拒否です。

ネットワークからこのコンピュータにアクセスするなど、他の設定の一部を調整して、さらに強化することもできます。

言うまでもなく、これらの変更を一度に1つずつ行い、それぞれのサービスが正常に機能することをテストしてから、次の手順に進むようにしてください。

7
追加された

実際にははるかに簡単な方法があります。アクティブディレクトリを使用すると、実際にユーザーがログオンできるマシンを指定できます。特定のユーザーがどのマシンにもログオンできないようにするには、ネットワークに存在しないマシンにログオンさせるだけです。

IE:あなたのコンピュータがDT001、DT002、DT003の場合、単にDT000だけにログオンすることができます。

0
追加された
DT000という名前の仮想マシンを作成した場合はどうなりますか?
追加された 著者 Mohamad-jaafar,