Deaktivieren Sie das Zwischenspeichern von Anmeldeinformationen für Domänenadministratoren

4188
crysman

Maschinen in AD (Domäne) zwischenspeichern standardmäßig Domänenbenutzer-Anmeldeinformationen. Dieses Verhalten gefällt mir nicht nur, weil es besonders bei Laptops besonders nützlich ist. Die Anzahl der letzten Anmeldungen, die zwischengespeichert werden sollen, kann leicht über das Gruppenrichtlinienobjekt geändert werden.

ABER, hier ist das Ding. Ich suche nach einer Möglichkeit, wie das Kennwort der Domänenadministratoren auf keinem Computer im Netzwerk zwischengespeichert werden kann. Der Grund, warum ich das will, ist Malware - wir wollen nicht, dass die gesamte Domain nur wegen eines infizierten Computers kompromittiert wird, oder ?!

Frage 1:

Wie kann die Zwischenspeicherung von Anmeldeinformationen für Domänenadministratorbenutzer ordnungsgemäß deaktiviert werden (und sie für normale "authentifizierte Benutzer" aktiviert werden) im Gruppenrichtlinienobjekt ?

Ich glaube, dass es erreicht werden kann, indem Sie Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options GPO container\Interactive logon: Number of previous logons to cache (in case domain controller is not available)auf setzen0

Ich habe jedoch nicht herausgefunden, wie ich es erfolgreich nur für Domain-Administratoren anwenden kann :(

-

Frage 2:

Außerdem ... Ich weiß, dass ich im GPO-Zweig "Standarddomänenrichtlinie" nur Richtlinien für Kennwörter / Berechtigungsnachweise festlegen muss, damit diese tatsächlich aktiv / ausgeführt werden können. Aber ... Ist das die einzige Ausnahme? Welche Richtlinien haben diese Ausnahme? Ist es der ganze Zweig "Sicherheitseinstellungen"? Oder nur ein paar Unterzweige? Oder etwas anderes? Wie wird dies in der Gruppenrichtlinienverwaltungskonsole angezeigt?

Verwenden von Windows Server 2012R2

3
Die Antwort auf Ihre Frage Nr. 2 finden Sie [hier] (http://serverfault.com/a/345975/205065). Twisty Impersonator vor 7 Jahren 1

1 Antwort auf die Frage

2
Ben N

Wenn die Funktionsebene Ihrer Domäne Windows Server 2012 R2 oder höher ist und Ihre Client-Computer Windows 8.1 oder neuer sind, können Sie ausgewählten Benutzern zusätzlichen Schutz bieten, indem Sie sie der Gruppe Geschützte Benutzer hinzufügen .

Mitglieder der Gruppe der geschützten Benutzer, die sich bei einer Windows Server 2012 R2-Domäne authentifizieren, können sich nicht mehr authentifizieren, indem sie Folgendes verwenden:

  • ...
  • Melden Sie sich offline an. Bei der Anmeldung wird kein zwischengespeicherter Verifizierer erstellt.

Vorsicht! Stellen Sie sicher, dass nicht alle privilegierten Konten Mitglieder von geschützten Benutzern sind, bevor Sie die Änderung getestet haben. Unter bestimmten Umständen können Sie sich aussperren ( weitere Informationen ).

Als Antwort auf Ihre zweite Frage: Die Richtlinien, die auf Domänencontroller angewendet werden müssen, wirken sich auf die Kontendatenbank und die Authentifizierung aus. Beispielsweise müssen Kennwortrichtlinien auf einem Domänencontroller erzwungen werden, da es nicht sinnvoll ist, dass eine einzelne Arbeitsstation Anmeldeinformationen für ein Domänenkonto verwaltet. Die durch Twisty in den Kommentaren verknüpfte Serverfehlerantwort ist hilfreich.

Ich habe es gerade ausprobiert, da mir die Idee ziemlich gut gefällt, ABER ... **. Dies verbietet mir die Verbindung über RDP ** (Remote Desktop): / `` Eine Benutzerkontoeinschränkung (z. B. eine Zeit von -Tag-Einschränkung) hindert Sie daran, sich anzumelden. Für ... `Unglücklicherweise möchte ich die Fernzugriffsmöglichkeit beibehalten. Irgendwelche anderen Lösungen? crysman vor 7 Jahren 0
@crysman Ah, das ist ein Problem. Sind Sie RDP-fähig von einer Arbeitsstation, die einer Domäne angehört? Ich habe auch [einen anderen Artikel] (https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/manage/how-to-configure-protected-accounts) gefunden, der relevant sein könnte . Ben N vor 7 Jahren 0
Ja, ich habe das von einem Domäne-verbundenen PC aus versucht. Vielen Dank für den Artikel, er könnte für zusätzliche Sicherheitsanpassungen hilfreich sein. Bei RDP geht es jedoch nicht um: / crysman vor 7 Jahren 0
Ich wollte mit "Nein" antworten, da es sich bei dem zwischengespeicherten GP für Anmeldeinformationen um eine Computerkonfiguration handelt. Sie können sie also nicht auf Benutzergruppen anwenden. Ich bin jedoch angenehm überrascht, dass diese Funktion jetzt existiert! Eine weitere Sache, die Sie unter @crysman in Betracht ziehen können, ist die Local Administrator Password Solution, mit der Sie die automatische Kennwortänderung auf das lokale Administratorkonto auf den Computern anwenden und die Kennwörter in AD-Objekten speichern können. Die Verwendung der geschützten Benutzer für Domänen-Admins und die anschließende Verwendung von LAPS würde zu einer angemessen sicheren Einrichtung eines privilegierten Kontos führen. music2myear vor 7 Jahren 1

Verwandte Probleme