Ваш надежный
хостинг партнер
(495) 797-8-500

8-800-700 40 36

У Вас нет выбранных услуг.



Новости компании, технические статьи

05.05.2015

Контроль прав учетной записи администратора в Windows

Ограничение прав на вход

В реале существует всего пара-тройка действенных способов, позволяющих ограничить физически привилегии на вход в учетные записи администратора. В большинстве случаев, связанных по преимуществу с безопасностью, ограничивать их использование - задача крайне необходимая. В этой связи принимается ряд мер, которые позволяют ограничить возможность использования данных учетных записей.

Прежде всего, нужно свести к минимуму число пользователей, знающих пароли к этим учетным записям. Лучшим решением в случае с администраторскими учетными записями, которые непосредственным образом связаны с Active Directory, будет разработка процессов назначения паролей. Суть их сводится к тому, что никто из пользователей не будет знать пароль целиком. Достичь этого можно, разбив пароль на две части: два администратора будут вводить части пароля, после чего, каждый из них подробно задокументирует свою часть. При необходимости получить доступ к подобной учетной записи пользователю нужно будет заиметь обе составляющие целого пароля. Другой способ - использование программы, которая формирует пароль автоматически и позволяет создать достаточно сложную комбинацию секретных символов.

Ограничение доступа к учетной записи локальных администраторов

Доступ к учетной записи локального администратора лучше всего ограничить вне зависимости от того, предоставлен ли обычному пользователю доступ к рабочей станции или закрыт.

Для этого существует 2 простых способа, первый из которых сводится к изменению имени для учетных записей локальных администраторов, а второй - к периодической смене пароля для них. Для каждого из этих параметров предусмотрены объекты политики группы. Один из первых параметров можно задать, перейдя в Cоmputer Configuration > Windоws Sеttings > Security Settings > Lоcal Pоlicies > Sеcurity Optiоns. Здесь нужно настроить следующую политику: «Accounts: Rename Administrator Account».

Ко второму типу политик, который также потребуется настроить, относится «Suite of Policy Settings. Данный раздел появился в системах семейства Windows, начиная с 2007 года. Такая политика представляет собой элемент целого комплекса, который получил название «PolicyMaker Suite». Путь к нему лежит через Computer Configuration > Windоws Sеttings > Cоntrol Panе > Local Usеrs аnd Grоups.

Единственный действенный способ ограничить постоянный контроль над такой учетной записью для обычного пользователя – удаление его аккаунта из группы администраторов.


Возврат к списку