Как запретить логиниться на компьютерах домена через служебную учётку?

Question

[Искатель]

Вопрос как ограничить локальный вход для пользователей в домене.
На контроллере домена Windows Server 2019 все создаваемые пользователи автоматически включаются в группу Domain Users, при этом это не только учётки сотрудников, но и служебные учётки, например для сканера или для скриптов БД. На компьютерах в домене доменная группа Domain Users является членом локальной группы Users, что теоретически даёт возможность логиниться на компьютерах домена как сканер. Как закрыть эту возможность?

Comments

[hint000]

даёт возможность логиниться на компьютерах домена как сканер

Кстати, откуда юзер узнает пароль от учетки сканера, если админ ему не скажет?

Ну а так-то можно создать группу "Служебные", добавить туда служебные учётки и прописать политику, запрещающую этой группе локальный логин на ПК и запрещающую этой группе сетевой логин на ПК.

[Ziptar]

MSA/GMSA для скриптов и служб

Answer 1

[Alexey Dmitriev]

Стандартным и описанным много раз в Интернете способом, который поэтому очень легко гуглится.
Создать в AD группу\группы, добавить для нее\них с помощью GPO запреты на различные нужные типы входов, добавлять сервисные учетные записи при создании в нужную группу\группы.
Вот прямо начиная отсюда https://learn.microsoft.com/en-us/previous-version... и 4 Deny Log On вниз
Можно запрещать разные типы для разных групп, можно комбинировать - одна или парочка.

Answer 2

[Crazy_Cooler]

Разрешить этим учетным записям, выдаваемые сканерам и прочим сервисам только "вход в качестве службы" или пакетного задания.
Читать в оригинале или тут

Comments

[Искатель]

Вопрос не в там как разрешить вход в качестве службы, а как запретить локальный вход. Локальный вход по умолчанию разрешён группе Users, нужно как-то сделать, чтобы создаваемые учётки не попадали в группу Users, пока не пойму как это сделать, группу по умолчанию на контроллере домена что ли сменить, но тогда вся сеть посыпется.

[Crazy_Cooler]

Искатель, ну тогда выбирайте, что понравится

[Искатель]

Crazy_Cooler, короче создал группу Zero Users и добавил её в правила "Запретить локальный вход". А по поводу группы Domain Users, то, я этого изначально не знал, но после добавления пользователя в группу Zero Users, её можно сделать группой по умолчанию, тогда Domain Users разрешено будет удалить

Answer 3

[Oneto]

Самый просто способ, открываем учётку, закладка - учётная запись, там кнопка "Вход на"
Выбери ПК на который этот пользователь может заходить., если надо что бы ни куда не заходил, просто добавь ПК в АД и не заводи его в домен.

Answer 4

[RomanKing]

Если Restrict logon workstations не помогло, то можно повешать login script, который сделает log off