3

Машины в AD (домен) по умолчанию кэшируют учетные данные пользователя домена, и мне нравится это поведение не только потому, что оно особенно полезно в случае ноутбуков. Количество последних входов в систему для кэширования может быть легко изменено с помощью объекта групповой политики.

НО, вот в чем дело. Я ищу способ запретить кэширование пароля администраторов домена на любом компьютере в сети. Причина, по которой я хочу, это вредоносное ПО - мы не хотим, чтобы весь домен был взломан только из-за одной зараженной машины, верно ?!

Вопрос 1:

Как правильно отключить кэширование учетных данных только для пользователей с правами администратора домена (и разрешить его включение для обычных "прошедших проверку пользователей") в объекте групповой политики?

Я полагаю, что этого можно добиться, установив для параметра « Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options GPO container\Interactive logon: Number of previous logons to cache (in case domain controller is not available) равным 0

Но я не понял, как успешно применять его только для администраторов домена :(

-

Вопрос 2:

Также... Я знаю, что мне нужно установить политики паролей / учетных данных в ветке объекта групповой политики "Политика домена по умолчанию" только для того, чтобы они могли быть активны / выполнены? Но ...Это единственное исключение? Какие политики должны иметь это исключение? Это целая ветка "Настройки безопасности"? Или только некоторые из его подразделений? Или что-то другое? Как это указано в консоли управления групповой политикой?

Использование Windows Server 2012R2

1 ответ1

2

Если функциональный уровень вашего домена - Windows Server 2012 R2 или выше, а ваши клиентские машины - Windows 8.1 или новее, вы можете предоставить отдельным пользователям дополнительную защиту, добавив их в группу защищенных пользователей .

Члены группы защищенных пользователей, которые проходят проверку подлинности в домене Windows Server 2012 R2, больше не могут выполнять проверку подлинности с помощью:

  • ...
  • Войти в автономном режиме. Кэшированный верификатор не создается при входе в систему.

Внимание! Убедитесь, что не все привилегированные учетные записи являются членами Защищенных пользователей, прежде чем вы закончите тестировать изменения. Возможно заблокировать себя при некоторых обстоятельствах (дальнейшее чтение).

В ответ на ваш второй вопрос: политики, которые должны применяться к контроллерам домена, влияют на базу данных учетных записей и проверку подлинности. Например, политики паролей должны применяться на контроллере домена, потому что не имеет смысла для одной рабочей станции управлять учетными данными для учетной записи домена. Ответ о сбое сервера, связанный Twisty в комментариях, полезен.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .