У своїй роботі мені досить часто доводиться створювати облікові записи, призначені для будь-яких технічних завдань (запуск скриптів, відправка поштових повідомлень і т.п.). Оскільки ці облікові записи не призначені для звичайної роботи, то, в цілях безпеки, вони не повинні мати можливість входу на сервер.

Заборонити вхід в систему для певних облікових записів можна за допомогою групових політик. Для цього відкриємо оснащення управління груповими політиками і створимо новий GPO.

Потім відкриємо створений GPO для редагування і перейдемо в розділ Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Local Policies \ User Rights Assignment.Тут нас цікавлять два параметри:

Deny log on locally - заборона на локальний (інтерактивний) вхід в систему;
Deny log on through Remote Desktop Services - заборона на вхід по RDP.

для активації політики необхідно включити (define) її і вказати осіб чи груп, для яких необхідно заборонити вхід.Використовувати групи більш зручно, ніж додавати користувачів по одному, тому я створив групу DenyInteractiveLogon, яку і додам в дані політики.

В результаті повинна вийти така картина.

Політика готова, треба перевірити її дія.Для цього в оснащенні ADUC знаходимо групу DenyInteractiveLogon, додаємо в неї спеціально створену сервісну учетку service_user

і безуспішно намагаємося увійти на комп'ютер під цим користувачем. При будь-якій спробі входу (локально або по RDP) видається повідомлення про помилку.

На закінчення пара важливих моментів, про які треба пам'ятати при використанні заборон:

• Політика призначена для комп'ютерів, тому призначати її треба на підрозділи, в яких знаходяться комп'ютери, а не користувачі.В принципі можна особливо не морочитися і призначити політику на весь домен, все одно заборона буде діяти тільки на зазначені в політиці групи;
• Дана політика досить небезпечна в невмілих руках. Наприклад, якщо вказати в ній групу Domain Users, то ніхто з доменних користувачів не зможе увійти на свій комп'ютер, а якщо додати групу Everyone, то заборона подіє на всі без винятку облікові записи.Тому, вибираючи об'єкти для заборони будьте уважні, щоб не заборонити вхід звичайним користувачам;
• По можливості для технічних цілей намагайтеся використовувати керовані облікові записи служб (managed service accounts), вони більш безпечні у використанні.