В Active Directory встроенная учётная запись администратора создается во время установки домена. Эта учетная запись по умолчанию является членом групп "Администраторы домена" и "Администраторы", а также может являться членом группы "Администраторы предприятия".
Чтобы обезопасить данную учётную запись выполните следующие настройки:
1. В свойствах аккаунта установите галочки:
- Для интерактивного входа в сеть нужна смарт-карта;
- Учетная запись важна и не может быть делегирована.
2. Добавьте в групповую политику домена следующие настройки по пути "Конфигурация компьютера->Политики->Конфигурация Windows->Параметры безопасности->Локальные политики->Назначение прав пользователя" для встроенной учётной записи администратора:
- Отказать в доступе к этому компьютеру из сети;
- Отказать во входе в качестве пакетного задания;
- Отказать во входе в качестве службы;
- Запретить вход в систему через службу удаленных рабочих столов.
Комментариев нет:
Отправить комментарий