Windows：阻止本地用户帐户的远程网络访问

---

出于多种原因，不建议在 Active Directory 环境中使用本地帐户（包括本地管理员）通过网络访问另一台计算机。多台计算机上通常使用相同的本地管理员用户名和密码，如果一台计算机受到威胁，可能会使多台设备面临风险（传递哈希攻击威胁）。而且，使用本地帐户访问网络资源很难拟人化和集中监控，因为此类事件不会记录在AD域控制器上。

为了降低风险，管理员可以重命名默认的本地 Windows 管理员帐户。要定期更改域中所有计算机上的本地管理员密码，可以使用 MS LAPS 工具（本地管理员密码解决方案）。但这些解决方案无法解决限制所有本地用户帐户的网络访问的问题，因为一台计算机上可能有多个本地帐户。

您可以使用拒绝从网络访问此计算机策略来限制本地帐户的网络访问。但此策略要求显式列出所有需要拒绝对计算机进行网络访问的帐户。
在 Windows 8.1 和 Windows Server 2012 R2 中，出现了两个具有新 SID 的新的众所周知的安全组。第一个包括所有本地用户，第二个包括所有本地管理员。

S-1-5-113NT AUTHORITY\Local accountAll local accountsS-1-5-114NT AUTHORITY\Local account and member of Administrators groupAll local accounts with the administrator privileges

现在，要限制本地帐户的访问，您可以使用它们的通用 SID。

在使用本地帐户登录计算机期间，这些组将添加到用户的访问令牌中。

为了确保在 Windows 10/Windows Server 2016 中为您的本地管理员帐户分配了两个新的安全组（

NT AUTHORITY\Local account (SID S-1-5-113)

和N

T AUTHORITY\Local account and member of Administrators group (SID S-1-5-114)

），运行命令：

Whoami /all

安装更新 KB 2871997（2014 年 6 月）后，您可以在 Windows 7/8 和 Windows Server 2008 R2/Windows Server 2012 上使用这些内置本地安全组。

您可以使用以下 PowerShell 脚本通过 SID 检查这些安全组是否存在于您的 Windows 设备上：

$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-113")
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value

为了阻止令牌中包含这些 SID 的本地用户帐户下的远程网络访问，您可以使用 GPO 部分计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配中的设置。

拒绝本地用户和管理员的远程桌面 (RDP) 访问

拒绝通过远程桌面服务登录策略允许您指定明确拒绝通过远程桌面远程登录计算机的用户和组。您可以拒绝本地和域帐户对计算机的 RDP 访问。

默认情况下，允许管理员和本地远程桌面用户组的成员在 Windows 上进行 RDP 访问。

如果您只想限制本地用户（包括本地管理员）的 RDP 连接，请打开本地 GPO 编辑器 gpedit.msc（如果您想在 Active Directory 域中的计算机上应用这些设置，请使用域组策略编辑器 - gpmc.msc）。转到 GPO 部分用户权限分配并编辑拒绝通过远程桌面服务登录策略。

将内置本地安全组“本地帐户和管理员组成员”和“本地帐户”添加到策略中。使用以下命令更新本地组策略设置：

gpupdate /force

。

拒绝策略优先于允许通过远程桌面服务登录策略。如果在两个策略中都添加了用户或组，则该用户的 RDP 访问将被拒绝。

现在，如果您尝试通过 RDP 在本地用户下连接到计算机，则会出现错误：

To sign in remotely, you need the right to sign in through Remote Desktop Services. By default, members of the Remote Desktop Users group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from the Remote Desktop Users group, you need to be granted this right manually.

拒绝从网络访问计算机

您可以使用拒绝从网络访问此计算机策略来拒绝使用本地凭据对计算机进行网络访问。

将本地组“本地帐户”和“本地帐户和管理员组成员”添加到拒绝从网络访问此计算机策略中。此外，您应该始终拒绝匿名访问和访客帐户下的访问。

对于域环境，我们建议您使用拒绝从网络访问此计算机策略来完全阻止对来自域管理员和企业管理员安全组的帐户下的工作站和域成员服务器的访问。这些帐户只能用于访问域控制器。这将降低捕获管理（特权）帐户哈希和权限升级的风险。

应用该策略后，您将无法使用任何本地 Windows 帐户通过网络远程连接到此计算机。当尝试连接到共享网络文件夹或在本地帐户下从该计算机映射网络驱动器时，会出现错误：

Microsoft Windows Network: Logon failure: the user has not been granted the requested logon type at this computers.

当尝试在本地管理员帐户 (.dministrator) 下建立远程桌面连接时，会出现错误消息。

The system administrator has restricted the types of logon (network or interactive) that you may use. For assistance, contact your system administrator or technical support.

重要。如果将此策略应用于属于 Windows 工作组（未加入 Active Directory 域）的计算机，则您只能在本地登录到该计算机。

拒绝用户本地登录 Windows 10

使用拒绝本地登录策略，您还可以限制本地 Windows 帐户下对计算机/服务器的交互式登录。转到 GPO 用户权限分配部分，编辑拒绝本地登录策略。将所需的本地安全组添加到其中。

对于拒绝组策略设置要特别小心。如果配置不正确，您可能会失去对计算机的访问权限。作为最后的手段，您可以像这样重置本地 GPO 设置。

现在，如果用户或管理员尝试使用本地帐户登录计算机，则会显示一条消息。

The sign-in method you are trying to use isn’t allowed. For more info, contact your network administrator.

如果您在 AD 中的用户帐户设置中限制了允许登录的计算机列表，也会出现相同的消息。

因此，您可以拒绝本地 Windows 帐户对计算机和域成员服务器的网络访问，并提高企业环境的安全性。