web-dev-qa-db-ja.com

Windows Server 2012許可を与えるためだけに、「非対話型」管理者アカウントを設定する

私の会社は現在サイバーエッセンシャル認定を取得する過程にあるため、合格するには管理者アカウントのセキュリティを強化する必要があります。

私の質問は、Windowsのセッションにログインできないが、サービスの実行を許可できる管理者アカウントを設定する方法です。たとえば、「管理者として実行」機能を使用して、管理者権限が必要なアプリケーションを開きます。

これは、管理者が管理者アカウントと一緒に標準ユーザーアカウントを必要とするため、管理者がインターネットに直接アクセスできず、2要素認証の形式として機能するのを防ぐためです。

GPO設定を使用しようとしましたが、有用なものが見つかりませんでした。助けてください!

ありがとうございました。

Runasには、インタラクティブ/ローカルでログオンする機能が必要です。

1つのオプションは、「リモートデスクトップサービスを介したログオンを拒否する」Windows権限を使用し、管理者アカウントがメンバーになっているセキュリティグループに適用することです。これにより、サーバーの横方向の動きの一部が軽減されますが、サーバーはコンソールにログオンできます。

ワークステーションの場合、別のオプションとして、ローカル管理機能にローカルアカウントの使用を要求し、MicrosoftLAPSなどの製品を使用してパスワードとローテーションを管理することもできます。

1
Greg Askew

私はこれにかなりうまく機能する解決策を見つけました、リンクはここにあります: http://www.authlite.com/kb/allow-runas-but-block-interactive-logon/

権限を付与するアカウントを作成できますが、それでもサインインできません。