ドメイン管理者の資格情報のキャッシュを無効にする
AD(ドメイン)のマシンはデフォルトでドメインユーザーの資格情報をキャッシュします。ラップトップの場合に特に役立つという理由だけでなく、この動作が気に入っています。キャッシュされる最後のログオンの数は、GPOを介して簡単に変更できます。
しかし、ここにあります。ドメイン管理者のパスワードがネットワーク内のどのコンピューターにもキャッシュされないようにする方法を探しています。これが必要な理由はマルウェアです。1台の感染したマシンだけでドメイン全体が侵害されることは望ましくありません。
質問1:
適切にGPOでドメイン管理者ユーザーに対してのみ資格情報のキャッシュを無効にする(そして通常の「認証されたユーザー」に対して有効にする)?
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options GPO container\Interactive logon: Number of previous logons to cache (in case domain controller is not available)を0に設定することで実現できると思います。
しかし、私はそれをドメイン管理者だけにうまく適用する方法を理解していません:(
-
質問2:
また...「デフォルトドメインポリシー」GPOブランチでパスワード/資格情報ポリシーを設定して、実際にアクティブ化/実行できるようにする必要があることを認識していますか?しかし...これですか?唯一の例外?この例外が発生するポリシーはどれですか?それは「セキュリティ設定」ブランチ全体ですか?それともそのサブブランチの一部ですか?それとも他の何かですか?グループポリシー管理コンソールにどのように表示されますか?
Windows Server2012R2の使用
ドメインの機能レベルがWindowsServer 2012 R2以降で、クライアントマシンがWindows 8.1以降の場合、選択したユーザーを Protected Users グループに追加することで、追加の保護を提供できます。
Windows Server 2012 R2ドメインに対して認証する保護されたユーザーグループのメンバーは、以下を使用して認証できなくなります。
- .。
- オフラインでサインインします。キャッシュされたベリファイアは、サインイン時に作成されません。
注意!変更のテストを完了する前に、すべての特権アカウントが保護ユーザーのメンバーになっていないことを確認してください。状況によっては自分を締め出すことができます( さらに読む )。
2番目の質問への回答:ドメインコントローラーに適用する必要のあるポリシーは、アカウントデータベースと認証に影響を与えるものです。たとえば、単一のワークステーションがドメインアカウントの資格情報を管理することは意味がないため、パスワードポリシーをドメインコントローラーに適用する必要があります。 サーバー障害の回答 コメントでTwistyによってリンクされていると役に立ちます。
私はこれが古いことを知っていますが、誰もフォーラムに回答を投稿していないので。保護されたユーザーグループとリモートデスクトップの問題は、IPアドレスではなく、DNSからRDPを使用する必要があることです。