Fundo
Historicamente, em minha organização, usamos uma conta de administrador de domínio compartilhado específica (vamos chamá-la de SharedDA) para quase tudo. Atualmente está conectado a várias dezenas de servidores. Juju ruim.
Mentes mais sãs estão prevalecendo e estamos planejando remover completamente o acesso a esta conta SharedDA, com o objetivo final de excluí-la, no entanto, temos um certo número de nossos funcionários técnicos que, por qualquer motivo (presumivelmente preguiça/memória muscular), insistem em continuando a fazer logon nos servidores Windows usando a conta.
Algumas dessas sessões ativas hospedam processos em execução na GUI que precisarão ser interrompidos e reiniciados com novas credenciais. Obviamente planejamos fazer isso de forma gerenciada, no entanto, assim que nos livramos das sessões SharedDA em dispositivos em nossa propriedade, elas também estão sendo criadas. Este esforço é adicionalmente dificultado pela existência de muito pouca capacidade, mesmo para o mínimo tempo de inatividade envolvido no processo de remediação.
O que eu gostaria de fazer é definir uma política que negue o logon localmente na conta SharedDA, com o objetivo de interromper esse desperdício de tempo de "um passo à frente, dois passos para trás" em que nos encontramos, no entanto, estou preocupado que isso possa afetam as sessões atualmente conectadas e eu simplesmente gostaria de ter alguma garantia de alguém que já fez isso antes ou que sabe com certeza se isso acontecerá ou não.
É claro que eu poderia fazer alguns testes com outra conta e, na ausência de uma resposta definitiva, farei isso e voltarei aqui com meus resultados.
Também sei que posso descobrir facilmente quem está criando essas sessões, obtendo o nome do cliente do qual eles estão se conectando, e na verdade fizemos isso e conversamos com as pessoas envolvidas, mas elas ainda estão fazendo isso. Além disso, vários de nossos fornecedores possuem as credenciais, já as receberam no passado, e também têm o hábito de usá-las (já disse mau juju?). Tentar conter o fluxo tem sido uma tarefa infrutífera, daí este plano.
Pergunta
Se eu definir uma política para negar logon localmente para um usuário específico do AD, isso afetará de alguma forma as sessões existentes de logon pertencentes a esse usuário?