배경
역사적으로 우리 조직에서는 거의 모든 작업에 특정 공유 도메인 관리자 계정(SharedDA라고 함)을 사용해 왔습니다. 현재 수십 개의 서버에 로그온되어 있습니다. 나쁜 주주.
이제 Saner의 생각이 널리 퍼지고 있으며 우리는 이 SharedDA 계정에 대한 액세스를 완전히 제거하여 궁극적인 삭제를 목표로 할 계획입니다. 그러나 어떤 이유로든(아마도 게으름/근육 기억) 고집하는 일정 수의 기술 직원이 있습니다. 해당 계정을 사용하여 Windows 서버에 계속 로그온합니다.
이러한 활성 세션 중 일부는 새 자격 증명으로 중지하고 다시 시작해야 하는 실행 중인 프로세스를 GUI에서 호스팅하고 있습니다. 우리는 분명히 관리되는 방식으로 이 작업을 수행할 계획이지만, 주변 장치에서 SharedDA 세션을 제거하는 동시에 해당 세션도 생성되고 있습니다. 수정 프로세스와 관련된 가동 중지 시간을 최소화할 수 있는 용량이 거의 없기 때문에 이러한 노력은 추가로 방해를 받습니다.
제가 하고 싶은 것은 "한 단계 앞으로, 두 단계 뒤로" 시간 낭비를 막기 위해 SharedDA 계정에 대한 로컬 로그온을 거부하는 정책을 설정하는 것입니다. 현재 로그온한 세션에 영향을 미칠 수 있으므로 이전에 이 작업을 수행한 적이 있거나 이러한 일이 발생할지 여부를 확실히 알고 있는 누군가로부터 약간의 확신을 얻고 싶습니다.
물론 다른 계정으로 몇 가지 테스트를 수행할 수도 있지만 명확한 답변이 없으면 실제로 테스트를 수행하고 결과를 가지고 여기로 돌아오겠습니다.
또한 연결 중인 클라이언트 이름을 알아내면 이러한 세션을 생성하는 사람이 누구인지 쉽게 알 수 있다는 것도 알고 있습니다. 우리는 실제로 이 작업을 수행하고 관련 사람들과 대화를 나눴지만 여전히 그렇게 하고 있습니다. 또한 많은 공급업체가 과거에 받은 자격 증명을 보유하고 있으며 습관적으로 사용하고 있습니다(벌써 나쁜 주주라고 말했나요?). 흐름을 막으려는 노력은 성과 없는 작업이었으며, 따라서 이 계획은 다음과 같습니다.
질문
특정 AD 사용자에 대해 로컬 로그온을 거부하도록 정책을 설정하면 해당 사용자에게 속한 기존 로그온 세션에 어떤 방식으로든 영향을 줍니까?