可能重复:
防止服务帐户在本地或远程登录
我有一些帐户用于运行各种服务,例如SQL.Service,TFS.Application等...并希望将这些帐户标记为不支持 AD 中的交互式登录
大概我应该把它们放在一个特定的安全组中(我创建了一个名为MyOrg.Services)但我不知道如何将该组中的用户标记为服务而不是“真实”用户
AskOverflow.Dev
我认为托管服务帐户可以满足您的要求。
这个过程相对简单。像普通用户一样创建您的用户。打开“本地安全策略”编辑器(在管理工具下)并向下钻取到本地计算机策略 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配,你会发现“拒绝日志在本地”。
从那里打开它并添加有问题的用户。
为了完整起见,您可能还想将它们添加到“作为服务登录”策略。
您可能还想在那里玩几个漂亮的其他选项。