主页 / server / 问题 / 438004
Accepted
Peter Hahndorf
Asked: 2012-10-14 04:09:21 +0800 CST

在独立的 Windows Web 服务器上锁定用户

  • 772

我有一个运行多个网站的 Windows Web Server 2008 R2 Core。没有广告。

其中一个 Web 应用程序需要对单个用户进行 Windows 身份验证。

除了用于 IIS Windows 身份验证之外,我想限制用户做任何事情。

这是我到目前为止所做的?

  • 从“用户”组中删除了用户。
  • 将用户添加到“Guests”组。
  • 从登录屏幕中删除了用户(添加到 SpecialAccounts\UserList)

当我为用户执行“whoami.exe /all”时,他仍然得到:

GROUP INFORMATION
-----------------

Group Name                             Type             SID          Attributes                                        
====================================== ================ ============ ==================================================
Everyone                               Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
BUILTIN\Guests                         Alias            S-1-5-32-546 Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                          Alias            S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE               Well-known group S-1-5-4      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users       Well-known group S-1-5-11     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization         Well-known group S-1-5-15     Mandatory group, Enabled by default, Enabled group
LOCAL                                  Well-known group S-1-2-0      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NTLM Authentication       Well-known group S-1-5-64-10  Mandatory group, Enabled by default, Enabled group
Mandatory Label\Medium Mandatory Level Label            S-1-16-8192  Mandatory group, Enabled by default, Enabled group


PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                    State   
============================= ============================== ========
SeChangeNotifyPrivilege       Bypass traverse checking       Enabled 
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled

为什么这仍然显示“BUILTIN\Users”,即使“net user”显示:

...
Logon hours allowed          All

Local Group Memberships      *Guests
Global Group memberships     *None
The command completed successfully.

当用户连接到服务器上的共享时,他成功了,但随后使用映射的驱动器给他一个“访问被拒绝”,因为他没有共享或文件夹的权限。

我还能做些什么来限制此帐户的功能?

我担心如果用户使用安装了键盘记录器的不安全机器,帐户凭据会受到损害。

该站点仅允许 SSL,并且服务器位于仅允许 80 和 443 的防火墙后面。

如果有人从数据中心的另一台服务器获取用户凭据,我想确保此 Web 服务器仍然安全。

iis

1 个回答

  1. Best Answer

    “经过身份验证的用户”是内置本地用户组的成员。由于用户帐户已通过身份验证,因此它间接成为用户组的成员。

    不,您不想从用户组中删除经过身份验证的用户。

    您可以使用 gpedit 将以下 Windows 权限分配给该帐户:

    拒绝作为批处理作业
    登录 拒绝作为服务登录

    • 0

相关问题