Заблокируйте пользователя на автономном веб-serverе Windows

У меня есть Windows Web Server 2008 R2 Core, на котором запущено несколько веб-websiteов. Нет AD.

Одно из веб-приложений требует аутентификации Windows для одного пользователя.

Я хотел бы запретить пользователю делать что-либо, кроме использования для проверки подлинности IIS Windows.

Вот что я сделал до сих пор?

  • Удален user из группы «Пользователи».
  • Добавлен user в группу «Гости».
  • Удален user с экрана inputа в систему (добавлен в SpecialAccounts \ UserList)

Когда я делаю «whoami.exe / all» для пользователя, он все равно получает:

GROUP INFORMATION ----------------- Group Name Type SID Attributes ====================================== ================ ============ ================================================== Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled group BUILTIN\Guests Alias S-1-5-32-546 Mandatory group, Enabled by default, Enabled group BUILTIN\Users Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled group NT AUTHORITY\INTERACTIVE Well-known group S-1-5-4 Mandatory group, Enabled by default, Enabled group NT AUTHORITY\Authenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled group NT AUTHORITY\This Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled group LOCAL Well-known group S-1-2-0 Mandatory group, Enabled by default, Enabled group NT AUTHORITY\NTLM Authentication Well-known group S-1-5-64-10 Mandatory group, Enabled by default, Enabled group Mandatory Label\Medium Mandatory Level Label S-1-16-8192 Mandatory group, Enabled by default, Enabled group PRIVILEGES INFORMATION ---------------------- Privilege Name Description State ============================= ============================== ======== SeChangeNotifyPrivilege Bypass traverse checking Enabled SeIncreaseWorkingSetPrivilege Increase a process working set Disabled 

Почему это все еще показывает «BUILTIN \ Users», хотя «lessто-user» показывает:

 ... Logon hours allowed All Local Group Memberships *Guests Global Group memberships *None The command completed successfully. 

Когда user подkeyается к общему ресурсу на serverе, он преуспевает, но затем использование сопоставленного диска дает ему «Доступ запрещен», потому что у него less permissions на общий ресурс или папку.

Что еще я могу сделать, чтобы ограничить возможности этой учетной записи?

Я обеспокоен тем, что учетные данные учетной записи будут скомпрометированы, если user использует незащищенную машину с установленным регистратором клавиатуры.

Сайт разрешает только SSL, а server находится за брандмауэром, который разрешает только 80 и 443.

Если кто-то получает учетные данные пользователя с другого serverа в центре обработки данных, я хочу убедиться, что этот веб-server по-прежнему безопасен.

«Аутентифицированные пользователи» являются членами встроенной локальной группы «Пользователи». Поскольку учетная запись пользователя аутентифицирована, она косвенно является членом группы «Пользователи».

И less, вы не хотите удалять Authenticated Users из группы Users.

Вы можете назначить следующие права Windows для учетной записи, используя gpedit:

Запретить input в систему как пакетное задание
Запретить input в систему как услугу

Interesting Posts
Давайте будем гением компьютера.