Как запретить логиниться на компьютерах домена через служебную учётку?
Вопрос как ограничить локальный вход для пользователей в домене.
На контроллере домена Windows Server 2019 все создаваемые пользователи автоматически включаются в группу Domain Users, при этом это не только учётки сотрудников, но и служебные учётки, например для сканера или для скриптов БД. На компьютерах в домене доменная группа Domain Users является членом локальной группы Users, что теоретически даёт возможность логиниться на компьютерах домена как сканер. Как закрыть эту возможность?
даёт возможность логиниться на компьютерах домена как сканер
Кстати, откуда юзер узнает пароль от учетки сканера, если админ ему не скажет?
Ну а так-то можно создать группу "Служебные", добавить туда служебные учётки и прописать политику, запрещающую этой группе локальный логин на ПК и запрещающую этой группе сетевой логин на ПК.
Стандартным и описанным много раз в Интернете способом, который поэтому очень легко гуглится.
Создать в AD группу\группы, добавить для нее\них с помощью GPO запреты на различные нужные типы входов, добавлять сервисные учетные записи при создании в нужную группу\группы.
Вот прямо начиная отсюда https://learn.microsoft.com/en-us/previous-version... и 4 Deny Log On вниз
Можно запрещать разные типы для разных групп, можно комбинировать - одна или парочка.
Разрешить этим учетным записям, выдаваемые сканерам и прочим сервисам только "вход в качестве службы" или пакетного задания.
Читать в оригинале или тут
Вопрос не в там как разрешить вход в качестве службы, а как запретить локальный вход. Локальный вход по умолчанию разрешён группе Users, нужно как-то сделать, чтобы создаваемые учётки не попадали в группу Users, пока не пойму как это сделать, группу по умолчанию на контроллере домена что ли сменить, но тогда вся сеть посыпется.
Простой
Средний
Средний
