我公司目前正在成为网络基本认证的过程,因此我们需要
增加管理员帐户的安全性.
我的问题是:
如何设置无法登录Windows会话但可以授予运行服务权限的管理员帐户.例如,使用“以管理员身份运行”功能打开需要管理员权限的应用程序.
这将是防止管理员直接访问互联网并作为双因素身份验证的一种形式,因为管理员将需要他们的标准用户帐户和管理员帐户.
我试过使用GPO设置但找不到任何有用的东西,请帮忙!
谢谢.
Runas需要能够以交互方式/本地
登录.
一种选择可能是使用“拒绝通过远程桌面服务登录”Windows权限,并将其应用于管理员帐户所属的安全组.这将减轻服务器的一些横向移动,但他们仍然可以登录到控制台.
对于工作站,另一种选择可能是要求使用本地帐户来执行本地管理功能,并使用Microsoft LAPS等产品来管理密码和轮换.
原文链接:https://www.f2er.com/windows/366725.html
