Ограничение прав на вход
В реале существует всего пара-тройка действенных способов, позволяющих ограничить физически привилегии на вход в учетные записи администратора. В большинстве случаев, связанных по преимуществу с безопасностью, ограничивать их использование - задача крайне необходимая. В этой связи принимается ряд мер, которые позволяют ограничить возможность использования данных учетных записей.
Прежде всего, нужно свести к минимуму число пользователей, знающих пароли к этим учетным записям. Лучшим решением в случае с администраторскими учетными записями, которые непосредственным образом связаны с Active Directory, будет разработка процессов назначения паролей. Суть их сводится к тому, что никто из пользователей не будет знать пароль целиком. Достичь этого можно, разбив пароль на две части: два администратора будут вводить части пароля, после чего, каждый из них подробно задокументирует свою часть. При необходимости получить доступ к подобной учетной записи пользователю нужно будет заиметь обе составляющие целого пароля. Другой способ - использование программы, которая формирует пароль автоматически и позволяет создать достаточно сложную комбинацию секретных символов.
Ограничение доступа к учетной записи локальных администраторов
Доступ к учетной записи локального администратора лучше всего ограничить вне зависимости от того, предоставлен ли обычному пользователю доступ к рабочей станции или закрыт.
Для этого существует 2 простых способа, первый из которых сводится к изменению имени для учетных записей локальных администраторов, а второй - к периодической смене пароля для них. Для каждого из этих параметров предусмотрены объекты политики группы. Один из первых параметров можно задать, перейдя в Cоmputer Configuration > Windоws Sеttings > Security Settings > Lоcal Pоlicies > Sеcurity Optiоns. Здесь нужно настроить следующую политику: «Accounts: Rename Administrator Account».
Ко второму типу политик, который также потребуется настроить, относится «Suite of Policy Settings. Данный раздел появился в системах семейства Windows, начиная с 2007 года. Такая политика представляет собой элемент целого комплекса, который получил название «PolicyMaker Suite». Путь к нему лежит через Computer Configuration > Windоws Sеttings > Cоntrol Panе > Local Usеrs аnd Grоups.
Единственный действенный способ ограничить постоянный контроль над такой учетной записью для обычного пользователя – удаление его аккаунта из группы администраторов.