В соответствии с рекомендациями Cyber Security все локальные административные разрешения были отозваны из учетных записей пользователей.
Только избранному количеству сотрудников была предоставлена вторичная учетная запись администратора, с которой им рекомендуется запускать свои приложения в качестве администратора с ... езда с обычной учетной записи без каких-либо привилегий.
Эти учетные записи применяются через объект групповой политики, который я назвал "Специальная политика доступа", который централизованно настраивает учетные записи локальных администраторов и предназначается для ПК.
Пользователи Специальной политики доступа имеют свое собственное подразделение, которое наследует нашу политику по умолчанию для домена и пароля и имеет другую политику для блокировки доступа в Интернет (применяя 127.0.0.1 в качестве прокси-адреса - за исключением WSUS).
Два вопроса здесь
- Вторичные учетные записи администратора могут запускать приложения в качестве администратора, хотя срок их действия истек
- Они не просят пользователя сменить пароль по истечении срока действия (и запускает приложение от имени администратора)
Есть ли какие-либо настройки, которые можно изменить, чтобы изменить это поведение?