Похожие вопросы

отключить кэширование учетных данных администраторов домена

машины в AD (domain) кэшируют учетные данные пользователя домена по умолчанию, и мне нравится это поведение не только потому, что оно особенно полезно в случае ноутбуков. Число последних входов в кэш можно легко изменить с помощью объекта групповой политики.

но вот в чем дело. Я ищу способ запретить кэширование пароля администратора домена на любом компьютере в сети. Причина, по которой я хочу, это вредоносное ПО-мы не хотим, чтобы весь домен был скомпрометирован только потому, что одной зараженной машины, верно?!

Вопрос 1:

Как правильно отключить кэширование учетных данных только для пользователей администратора домена (и пусть он будет включен для обычных "аутентифицированных пользователей") в GPO?

Я считаю, что это будет достигнуто установкой Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options GPO containerInteractive logon: Number of previous logons to cache (in case domain controller is not available) to 0

но я не понял, как успешно применить его только для администраторов домена: (

--

вопрос 2:

также... Я знаю, что мне нужно установить пароль/учетные данные политики в ветви объекта групповой политики "Политика домена по умолчанию" только фактически разрешить им быть активными / выполняется? Но ...это единственное исключение? Какие политики должны иметь это исключение? Это целая ветка "настройки безопасности"? Или только некоторые из его дочерних ветвей? Или что-то еще? Как это указано в консоли управления групповыми политиками?

использование Windows Server 2012R2

5
задан crysman
источник

1 ответов

Если функциональный уровень вашего домена-Windows Server 2012 R2 или выше, а клиентские компьютеры-Windows 8.1 или новее, вы можете предоставить выбранным пользователям дополнительную защиту, добавив их в Защищенные Пользователи группы.

члены группы защищенных пользователей, которые проходят проверку подлинности в домене Windows Server 2012 R2 больше не может выполнить проверку подлинности с помощью:

  • ...
  • вход в автономный режим. Кэшированный верификатор не создается при входе в систему.

осторожно! убедитесь, что не все привилегированные учетные записи являются членами защищенных пользователей, прежде чем вы закончите тестирование изменения. Можно заблокировать себя при некоторых обстоятельствах (более дальнеишее чтение).

в ответ на ваш второй вопрос: политики, которые должны применяться к контроллерам домена, влияют на базу данных учетных записей и проверку подлинности. Например, политики паролей необходимо применять на контроллере домена, так как для одной рабочей станции не имеет смысла управлять учетными данными для учетной записи домена. ответ об ошибке сервера связанный Twisty в комментариях полезен.

2
отвечен Ben N 2017-04-13 12:14:40
источник

Другие вопросы cache credentials domain password-management windows