Fondo
Históricamente, en mi organización hemos utilizado una cuenta de administrador de dominio compartido particular (llamémosla SharedDA) para casi todo. Actualmente está conectado a varias docenas de servidores. Mal juju.
Ahora prevalecen mentes más sensatas y estamos planeando eliminar completamente el acceso a esta cuenta de SharedDA, con el objetivo final de eliminarla, sin embargo, tenemos un cierto número de nuestro personal técnico que, por cualquier motivo (presumiblemente pereza/memoria muscular) insiste en continuar iniciando sesión en los servidores de Windows utilizando la cuenta.
Algunas de estas sesiones activas albergan procesos en ejecución en la GUI que deberán detenerse y reiniciarse con nuevas credenciales. Obviamente planeamos hacer esto de forma administrada; sin embargo, tan pronto como nos deshacemos de las sesiones de SharedDA en dispositivos de nuestro patrimonio, también se crean. Este esfuerzo se ve además obstaculizado por la muy poca capacidad incluso para el tiempo de inactividad mínimo que implica el proceso de remediación.
Lo que me gustaría hacer es establecer una política que niegue el inicio de sesión local en la cuenta SharedDA, con el objetivo de detener este hundimiento de tiempo de "un paso adelante, dos pasos atrás" en el que nos encontramos, sin embargo, me preocupa que hacer esto pueda afecta las sesiones actualmente registradas y simplemente me gustaría que alguien que haya hecho esto antes o que sepa con certeza si esto sucederá o no me tranquilice.
Por supuesto, podría hacer algunas pruebas con otra cuenta y, a falta de una respuesta definitiva, lo haré y volveré aquí con mis resultados.
También sé que puedo averiguar con bastante facilidad quién está creando estas sesiones obteniendo el nombre del cliente desde el que se están conectando, y de hecho lo hemos hecho y hablado con las personas interesadas, pero todavía lo están haciendo. Además, varios de nuestros proveedores tienen las credenciales que se les han otorgado en el pasado y también tienen la costumbre de utilizarlas (¿ya dije mal juju?). Tratar de detener el flujo ha sido una tarea infructuosa, de ahí este plan.
Pregunta
Si configuro una política para denegar el inicio de sesión local para un usuario de AD en particular, ¿afectará de alguna manera las sesiones registradas existentes que pertenecen a ese usuario?