Автоматическое отключение локальных учетных записей через GPO

  • Автор:

disable-local-user-via-gpo-000.pngЛокальные учетные записи являются слабым звеном в вопросе обеспечения безопасности Active Directory, позволяя получить доступ к системе в обход существующих политик, особенно если это учетные записи группы локальных администраторов. Поэтому, если безопасность для вас играет не последнюю роль, то локальные учетные записи следует отключить, лучше всего сразу после установки ОС. Но если по какой-либо причине это не было сделано, то самое время выполнить отключение централизовано, а поможет нам в этом инструмент групповых политик.

Отключаем встроенную учетную запись Администратора

Открываем оснастку Управление групповой политикой, создаем новую политику и открываем ее на редактирование. Переходим в Конфигурация компьютера - Настройка - Параметры панели управления - Локальные пользователи и группы, где выполняем действие Создать - Локальный пользователь.

disable-local-user-via-gpo-001.pngВ открывшемся окне выбираем: Действие - Обновить, Пользователь - Администратор (встроенная учетная запись), а также устанавливаем флаги Отключить учетную запись и Срок действия учетной записи не ограничен.

disable-local-user-via-gpo-002.pngДанную политику следует нацеливать и линковать на OU (подразделение) с компьютерами.

Удаляем учетные записи из группы локальных Администраторов

Кроме локального Администратора в группу Администраторов входит как минимум первая созданная на компьютере учетная запись, также там могут быть и другие учетные записи. В целях безопасности правильно будет удалить их из этой группы, т.е. лишить привилегий локального Администратора. Данную настройку можно добавить в уже созданную нами политику.

Переходим в Конфигурация компьютера - Настройка - Параметры панели управления - Локальные пользователи и группы, где выполняем действие Создать - Локальная группа. Затем указываем следующие настройки: Действие - Обновить, Имя группы - Администраторы (встроенная учетная запись), ниже устанавливаем флаги Удалить всех пользователей-членов этой группы и Удалить все группы-члены этой группы. Затем добавляем в Члены группы группу Администраторы домена и группу техподдержки (если есть).

disable-local-user-via-gpo-003.pngДанная политика также должна применяться к подразделению с компьютерами.

Отключение локальных учетных записей

Стандартными средствами GPO отключить произвольные локальные учетные записи нельзя, поэтому для этих целей будем использовать скрипт. Создайте новый файл и внесите в него следующее содержимое:

'*************************************************
' File: Disable Local User Accounts.vbs
' Author: Andrew Barnes
' version: 1.0 Date: 07 September 2009 By : Andrew D Barnes
' Lists local accounts and disables all except local admin and ASPNET
'*************************************************
Set objShell = CreateObject("Wscript.Shell")
Set objNetwork = CreateObject("Wscript.Network")

strComputer = objNetwork.ComputerName

Set colAccounts = GetObject("WinNT://" & strComputer & "")

colAccounts.Filter = Array("user")
Message = Message & "Local User accounts:" & vbCrLf & vbCrLf

For Each objUser In colAccounts
If objUser.Name <> "Administrator" AND objUser.Name <> "ASPNET" Then
Message = Message & objUser.Name
If objUser.AccountDisabled = TRUE then
Message = Message & " is currently disabled" & vbCrLf
Else
Message = Message & " was enabled" & vbCrLf
objUser.AccountDisabled = True
objUser.SetInfo
End If
End If
Next

' Initialize title text.
Title = "Local User Accounts By Andrew Barnes"
objShell.Popup Message, , Title, vbInformation + vbOKOnly

Сохраните его с расширением VBS, например, LocalAccountDisable.vbs

Разместите этот скрипт в общей папке? к которой имеют доступ все компьютеры, для примера будем использовать \\fileserver\share\LocalAccountDisable.vbs

Затем создадим новую или отредактируем уже существующую политику. Переходим в Конфигурация компьютера - Политики - Конфигурация Windows - Сценарии (запуск/завершение), открываем сценарий Автозагрузка и добавляем туда полный путь к нашему скрипту.

disable-local-user-via-gpo-004.pngДанную политику также нацеливаем и линкуем на OU с компьютерами.

LocalAccountDisable.zip
MD5: C3DFAD6A05684CA91C4184737C8B3BAD

По материалам пользователя George.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Поддержи проект!

Или подпишись на наш Телеграм-канал: Подпишись на наш Telegram-канал



Loading Comments