Hintergrund
In meiner Organisation haben wir bisher für fast alles ein bestimmtes gemeinsames Domänenadministratorkonto (nennen wir es SharedDA) verwendet. Derzeit ist es bei mehreren Dutzend Servern angemeldet. Pech gehabt.
Jetzt setzt sich die Vernunft durch und wir planen, den Zugriff auf dieses SharedDA-Konto vollständig zu sperren, mit dem endgültigen Ziel, es zu löschen. Allerdings bestehen einige unserer technischen Mitarbeiter aus irgendeinem Grund (vermutlich Faulheit/Muskelgedächtnis) darauf, sich weiterhin mit diesem Konto bei den Windows-Servern anzumelden.
Einige dieser aktiven Sitzungen hosten laufende Prozesse in der GUI, die gestoppt und mit neuen Anmeldeinformationen neu gestartet werden müssen. Wir planen natürlich, dies auf verwaltete Weise zu tun, aber so schnell wir SharedDA-Sitzungen auf Geräten in unserem Bestand loswerden, werden sie auch erstellt. Diese Bemühungen werden zusätzlich dadurch behindert, dass selbst für die minimalen Ausfallzeiten, die mit dem Sanierungsprozess verbunden sind, nur sehr wenig Kapazität vorhanden ist.
Ich möchte eine Richtlinie festlegen, die die lokale Anmeldung beim SharedDA-Konto verweigert, um diesen Zeitfresser „ein Schritt vor, zwei Schritte zurück“ zu beenden. Allerdings mache ich mir Sorgen, dass dies Auswirkungen auf aktuell angemeldete Sitzungen haben könnte, und hätte gerne die Zusicherung von jemandem, der dies schon einmal getan hat oder mit Sicherheit weiß, ob dies passieren wird oder nicht.
Ich könnte natürlich einige Tests mit einem anderen Konto durchführen und werde dies in Ermangelung einer endgültigen Antwort auch tun und mit meinen Ergebnissen hierher zurückkommen.
Ich weiß auch, dass ich ziemlich leicht herausfinden kann, wer diese Sitzungen erstellt, indem ich den Namen des Kunden ermittle, von dem aus sie sich verbinden. Wir haben das tatsächlich getan und mit den betreffenden Personen gesprochen, aber sie tun es immer noch. Außerdem haben einige unserer Lieferanten die Anmeldeinformationen, da sie sie in der Vergangenheit erhalten haben, und verwenden sie auch regelmäßig (habe ich schon „schlechtes Omen“ gesagt?). Der Versuch, den Zustrom einzudämmen, war bisher vergeblich, daher dieser Plan.
Frage
Wenn ich eine Richtlinie festlege, um einem bestimmten AD-Benutzer die lokale Anmeldung zu verweigern, hat dies irgendwelche Auswirkungen auf bestehende Anmeldesitzungen dieses Benutzers?