Контроль прав учетной записи администратора в Windows

Ограничение прав на вход

В реале существует всего пара-тройка действенных способов, позволяющих ограничить физически привилегии на вход в учетные записи администратора. В большинстве случаев, связанных по преимуществу с безопасностью, ограничивать их использование - задача крайне необходимая. В этой связи принимается ряд мер, которые позволяют ограничить возможность использования данных учетных записей.

Контроль прав учетной записи администратора в Windows Прежде всего, нужно свести к минимуму число пользователей, знающих пароли к этим учетным записям. Лучшим решением в случае с администраторскими учетными записями, которые непосредственным образом связаны с Active Directory, будет разработка процессов назначения паролей. Суть их сводится к тому, что никто из пользователей не будет знать пароль целиком. Достичь этого можно, разбив пароль на две части: два администратора будут вводить части пароля, после чего, каждый из них подробно задокументирует свою часть. При необходимости получить доступ к подобной учетной записи пользователю нужно будет заиметь обе составляющие целого пароля. Другой способ - использование программы, которая формирует пароль автоматически и позволяет создать достаточно сложную комбинацию секретных символов.

Аренда выделенного сервера

Используйте готовые решения, чтобы быстро подобрать оптимальный для себя вариант аренды сервера

Скидка Аренда выделенного сервера 8 740 ₽/мес.

Intel® Xeon® E3-1230 v2, 3,3 GHz/4core
3.3 , 4 ядра
32Gb DDR3
2 x SSD: 480Gb, Ent
2 x SATA3: 1 TB

Заказать Подробнее

Топ продаж Аренда выделенного сервера 9 740 ₽/мес.

Intel® Xeon® E3-1270 v2, 3,5 GHz/4core
3.5 , 4 ядра
32Gb DDR3
2 x SSD: 480Gb, Ent
2 x SATA3: 1 TB

Заказать Подробнее

Сервер для 1С Аренда выделенного сервера 26 500 ₽/мес.

2 x Intel® Xeon® E5-2667, 3,3 GHz/HT32core
3.3 , 16 ядер
128Gb DDR4
4 x SSD: 480Gb, Ent
2 x SATA3: 2 TB

Заказать Подробнее

Ограничение доступа к учетной записи локальных администраторов

Доступ к учетной записи локального администратора лучше всего ограничить вне зависимости от того, предоставлен ли обычному пользователю доступ к рабочей станции или закрыт.

Для этого существует 2 простых способа, первый из которых сводится к изменению имени для учетных записей локальных администраторов, а второй - к периодической смене пароля для них. Для каждого из этих параметров предусмотрены объекты политики группы. Один из первых параметров можно задать, перейдя в Cоmputer Configuration > Windоws Sеttings > Security Settings > Lоcal Pоlicies > Sеcurity Optiоns. Здесь нужно настроить следующую политику: «Accounts: Rename Administrator Account».

Ко второму типу политик, который также потребуется настроить, относится «Suite of Policy Settings. Данный раздел появился в системах семейства Windows, начиная с 2007 года. Такая политика представляет собой элемент целого комплекса, который получил название «PolicyMaker Suite». Путь к нему лежит через Computer Configuration > Windоws Sеttings > Cоntrol Panе > Local Usеrs аnd Grоups.

Единственный действенный способ ограничить постоянный контроль над такой учетной записью для обычного пользователя – удаление его аккаунта из группы администраторов.