Машины в AD (домен) по умолчанию кэшируют учетные данные пользователя домена, и мне нравится это поведение не только потому, что оно особенно полезно в случае ноутбуков. Количество последних входов в систему для кэширования может быть легко изменено с помощью объекта групповой политики.
НО, вот в чем дело. Я ищу способ запретить кэширование пароля администраторов домена на любом компьютере в сети. Причина, по которой я хочу, это вредоносное ПО - мы не хотим, чтобы весь домен был взломан только из-за одной зараженной машины, верно ?!
Вопрос 1:
Как правильно отключить кэширование учетных данных только для пользователей с правами администратора домена (и разрешить его включение для обычных "прошедших проверку пользователей") в объекте групповой политики?
Я полагаю, что этого можно добиться, установив для параметра « Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options GPO container\Interactive logon: Number of previous logons to cache (in case domain controller is not available) равным 0
Но я не понял, как успешно применять его только для администраторов домена :(
-
Вопрос 2:
Также... Я знаю, что мне нужно установить политики паролей / учетных данных в ветке объекта групповой политики "Политика домена по умолчанию" только для того, чтобы они могли быть активны / выполнены? Но ...Это единственное исключение? Какие политики должны иметь это исключение? Это целая ветка "Настройки безопасности"? Или только некоторые из его подразделений? Или что-то другое? Как это указано в консоли управления групповой политикой?
Использование Windows Server 2012R2