背景
歷史上,在我的組織中,我們幾乎所有事情都使用特定的共享網域管理員帳戶(我們稱之為 SharedDA)。目前它已登入數十台伺服器。壞朱朱。
現在頭腦清醒,我們計劃完全取消對這個 SharedDA 帳戶的訪問,最終目標是刪除它,但是我們有一定數量的技術人員,無論出於何種原因(大概是懶惰/肌肉記憶)堅持要求繼續使用該帳戶登入Windows 伺服器。
其中一些活動會話正在 GUI 中託管正在運行的進程,需要在新憑證下停止並重新啟動這些進程。顯然,我們計劃以託管方式做到這一點,但是,當我們擺脫周圍設備上的 SharedDA 會話時,它們也會被創建。這項工作也受到了阻礙,因為修復過程中即使是最短的停機時間也非常有限。
我想做的是製定一項拒絕本地登入 SharedDA 帳戶的策略,目的是阻止我們發現自己陷入這種「前進兩步」的時間困境,但我擔心這樣做可能會影響當前登入的會話,我只是希望以前做過此操作或確定知道這種情況是否會發生的人提供一些保證。
我當然可以用另一個帳戶進行一些測試,在沒有明確答案的情況下,我確實會這樣做,並帶著我的結果回到這裡。
我還知道,透過取得他們連線的客戶端名稱,我可以相當容易地找出誰在建立這些會話,我們實際上已經這樣做了,並與相關人員進行了交談,但他們仍在這樣做。另外,我們的許多供應商都擁有過去獲得過的證書,也習慣使用它們(我已經說過不好的juju了嗎?)。試圖阻止這種流動是一項徒勞的任務,因此有了這個計劃。
問題
如果我設定策略拒絕特定 AD 使用者在本機上登錄,是否會以任何方式影響屬於該使用者的現有登入工作階段?