Kompмашины в AD (domain) кэшируют учетные данные пользователя домена по умолчанию, и мне нравится это поведение не только потому, что оно особенно полезно в случае ноутбуков. Число последних входов в кэш можно легко изменить с помощью объекта групповой политики.
но вот в чем дело. Я ищу способ запретить кэширование пароля администратора домена на любом компьютере в сети. Причина, по которой я хочу, это вредоносное ПО-мы не хотим, чтобы весь домен был скомпрометирован только потому, что одной зараженной машины, верно?!
Вопрос 1:
Как правильно отключить кэширование учетных данных только для пользователей администратора домена (и пусть он будет включен для обычных "аутентифицированных пользователей") в GPO?
Я считаю, что это будет достигнуто установкой Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options GPO containerInteractive logon: Number of previous logons to cache (in case domain controller is not available) to 0
но я не понял, как успешно применить его только для администраторов домена: (
--
вопрос 2:
также... Я знаю, что мне нужно установить пароль/учетные данные политики в ветви объекта групповой политики "Политика домена по умолчанию" только фактически разрешить им быть активными / выполняется? Но ...это единственное исключение? Какие политики должны иметь это исключение? Это целая ветка "настройки безопасности"? Или только некоторые из его дочерних ветвей? Или что-то еще? Как это указано в консоли управления групповыми политиками?
использование Windows Server 2012R2
3177
