opt*_*lic 5 powershell active-directory
我想循环遍历我的所有域服务帐户,并确保人们无法使用该帐户登录服务器。
如何检查服务帐户是否具有交互式登录权限和/或远程登录权限?
它们不是托管服务帐户,因为它们在多个服务器上用作服务帐户。
我尝试过gpresult /s myservername /user myusername /h gpreport.html,但我不太理解该报告。
有一个部分包含:
Security Group Membership when Group Policy was applied
MYDOMAIN\Domain Users
Everyone
BUILTIN\Users
BUILTIN\Administrators
NT AUTHORITY\REMOTE INTERACTIVE LOGON
NT AUTHORITY\INTERACTIVE
最后两个是允许该用户登录服务器的吗?
或者是否有我可以使用命令行检查和查找的组策略?
这不是用户帐户的功能,而是计算机配置和用户帐户的功能。
拒绝服务帐户交互式登录权限的最简单方法是使用 GPO。
打开组策略管理器,然后转到Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment。
将您的服务帐户(或者,如果您提前计划,则添加一个包含您的服务帐户的安全组)到 和Deny log on locally(Deny log on through Terminal Services或Deny Log on through Remote Desktop Services,取决于您的 Windows 版本)设置。
将此 GPO 应用于您想要应用的计算机,然后就完成了。(通过 CLI 处理 GPO 仍然是一个相当大的痛苦,所以我不建议采用这种方法,但如果您执意要这样做,那么这就是您要寻找的东西,并且在哪里。)
| 归档时间: |
|
| 查看次数: |
36935 次 |
| 最近记录: |