Abgelaufene sekundäre Administratorkonten: Keine Aufforderung zur Änderung des Kennworts (Ausführen als)

428
IT Apprentice

Für eine bewährte Vorgehensweise von Cyber ​​Security wurden alle lokalen Administratorberechtigungen für Benutzerkonten gesperrt.

Nur eine bestimmte Anzahl von Mitarbeitern wurde mit einem sekundären Administratorkonto ausgestattet, von dem sie geraten werden, ihre Anwendungen als Administrator auszuführen, und das Fahren von ihrem normalen Konto ohne Privilegien.

Diese Konten werden über ein Gruppenrichtlinienobjekt angewendet, das ich als "Special Access Policy" (Spezielle Zugriffsrichtlinie) bezeichnet habe. Dabei werden lokale Administratorkonten und Zielcomputer zentral konfiguriert.

Die Benutzer der speziellen Zugriffsrichtlinie verfügen über eine eigene Organisationseinheit, die unsere Standarddomänen- / Kennwortrichtlinie erbt, und eine andere Richtlinie zum Sperren des Internetzugriffs (127.0.0.1 als Proxyadresse gilt - mit Ausschluss für WSUS).

Zwei Fragen hier

  • Die sekundären Administratorkonten können Anwendungen als Administrator ausführen, obwohl sie abgelaufen sind
  • Sie fordern den Benutzer nicht auf, die Kennwörter zu ändern, wenn sie abgelaufen sind (und die App als Administrator ausgeführt wird).

Gibt es Einstellungen, die geändert werden können, um dieses Verhalten zu ändern?

0
Ich glaube nicht, dass "Ausführen als" zählt, wenn Sie sich tatsächlich in das Konto einloggen. Dies bedeutet, dass Gruppenrichtlinien nicht auf das Konto angewendet werden. Ich würde ein Skript schreiben, um zu bestätigen, dass dies der Fall ist. Von dieser Arbeit aus können Sie dann Konten sperren, bei denen mindestens einmal im Monat kein Login erfolgt. Ramhound vor 5 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme