Учетные записи вторичного администратора с истекшим сроком действия: не запрашивается смена пароля (запуск от имени)

254
IT Apprentice

В соответствии с рекомендациями Cyber ​​Security все локальные административные разрешения были отозваны из учетных записей пользователей.

Только избранному количеству сотрудников была предоставлена ​​вторичная учетная запись администратора, с которой им рекомендуется запускать свои приложения в качестве администратора с ... езда с обычной учетной записи без каких-либо привилегий.

Эти учетные записи применяются через объект групповой политики, который я назвал «Специальная политика доступа», который централизованно настраивает учетные записи локальных администраторов и предназначается для ПК.

Пользователи Специальной политики доступа имеют свое собственное подразделение, которое наследует нашу политику по умолчанию для домена и пароля и имеет другую политику для блокировки доступа в Интернет (применяя 127.0.0.1 в качестве прокси-адреса - за исключением WSUS).

Два вопроса здесь

  • Вторичные учетные записи администратора могут запускать приложения в качестве администратора, хотя срок их действия истек
  • Они не просят пользователя сменить пароль по истечении срока действия (и запускает приложение от имени администратора)

Есть ли какие-либо настройки, которые можно изменить, чтобы изменить это поведение?

0
Я не верю, что «запустить как» считается фактическим входом в учетную запись. Это означает, что групповые политики не применяются к учетной записи. Я бы написал сценарий, чтобы подтвердить, что это так. После этой работы вы можете заблокировать учетные записи, которые не входят в систему хотя бы раз в месяц. Ramhound 5 лет назад 0

0 ответов на вопрос

Похожие вопросы