Sichern von Windows-Dienstkonten (Spiceworks-Dienst) - Wie Man

Sichern von Windows-Dienstkonten (Spiceworks-Dienst)

Geben Sie dem Dienstkonto zunächst die absoluten Mindestberechtigungen, die zur Ausführung seiner Aufgaben erforderlich sind.
Leider gibt es manchmal keine Umgehung, und einige Dienste müssen als Domänenadministrator (z. B. Spiceworks-Dienst) ausgeführt werden.
Der beste Weg, um mit diesen Konten umzugehen, besteht darin, sie zu sperren, damit sie sich nicht interaktiv bei Computern anmelden können.

Das Folgende ist eine Anleitung, um diesen Prozess zu beschreiben

6 Schritte insgesamt

Schritt 1: Erstellen Sie eine Sicherheitsgruppe in AD

Erstellen Sie in Active Directory eine neue Sicherheitsgruppe mit dem Namen 'DenyLocalLogin' oder ähnliches

Schritt 2: Erstellen Sie ein neues Gruppenrichtlinienobjekt

Erstellen Sie ein neues Gruppenrichtlinienobjekt (alternativ können Sie die "Standarddomänenrichtlinie" bearbeiten) und platzieren Sie es in der obersten Ebene Ihrer Baumstruktur, sodass es für alle Computer in Ihrer Domäne gilt.
Erzwingen Sie die Richtlinie, um sicherzustellen, dass jeder Computer diese Richtlinie anwendet.

Schritt 3: Bearbeiten Sie das Gruppenrichtlinienobjekt

Bearbeiten Sie das Gruppenrichtlinienobjekt, um die folgenden Einstellungen anzuwenden:
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten
Lokale Anmeldung verweigern - Aktivieren Sie die Sicherheitsgruppe "DenyLocalLogin"
Anmeldung über Terminaldienste verweigern - Aktivieren Sie die Sicherheitsgruppe "DenyLocalLogin" (dadurch wird verhindert, dass der Benutzer auch Remote Desktop zur Anmeldung an Computern verwenden kann).

Schritt 4: Fügen Sie der Sicherheitsgruppe Benutzer hinzu

Jetzt müssen Sie nur noch die Dienstkonten hinzufügen, die Sie sperren möchten, zur Sicherheitsgruppe 'DenyLocalLogin'

Schritt 5: Warten Sie, bis die Richtlinie verbraucht ist

Diese neuen Gruppenrichtlinien werden nicht sofort wirksam. Ich gehe davon aus, dass die Gruppenrichtlinien standardmäßig alle 4 Stunden aktualisiert werden.
Um zu testen, ob dies auf einem bestimmten Computer sofort funktioniert hat, können Sie ein erzwungenes Update durchführen ('gpupdate / force' über eine Eingabeaufforderung).
Starten Sie den PC neu und versuchen Sie, sich lokal mit diesem Dienstkonto bei diesem PC anzumelden. Versuchen Sie dann, den Remote-Desktop zu verwenden, um sich remote bei diesem Computer anzumelden.
Sie sollten beide Male abgelehnt werden.

Schritt 6: Testen Sie Ihre Dienste

Testen Sie offensichtlich die Dienste, für die dieses Konto verwendet wird, um sicherzustellen, dass nichts defekt ist.

Dies sollte wirklich für alle Spiceworks-Dienstkonten und alle anderen Konten erfolgen, bei denen es sich um Domänen-Admins oder Administratoren handelt, die sich nicht unbedingt interaktiv an einem Computer anmelden müssen