在Windows域限制系统管理员的并发登录

Question

快速背景:我们是一个规模较小的团队，这意味着我们要执行多功能角色。因此，开发人员通常也是DBA，有些开发人员确实拥有域管理访问权限。通常，我们的团队在正常操作期间不使用管理帐户(没有匿名管理帐户，每个管理员都有指定的管理帐户)。只有当需要作出改变，执行维护等，并为场外支持，我们有两个因素的认证。小公司，你必须是多才的，工作过度和薪酬过低是我得到的:)

我们最近进行了一次审计，其中有人要求我们限制/禁用管理帐户的并发登录。一般的想法是:如何使流氓管理员很难成为恶意管理员，以及如何知道登录的管理帐户不受损害(使用admin登录的黑客)。

根据我的研究，没有办法限制Windows域上帐户的并发登录吗？它需要第三方软件吗？

Answer 1

所以我不认为这是百分之百的可能。

您可以做的是将服务器限制为一个RDP会话：https://support.managed.com/kb/a1816/how-to-enable-disable-multiple-rdp-sessions-in-windows-2012.aspx。

您无法阻止(我不认为)有人同时使用控制台会话(所以MSTSC /admin)和对等的物理访问控制台会话。

Answer 2

就我的经验而言，这在纯windows环境中是不可能的。

不过，您可以通过使用凭据库(如蒂克秘密服务器或竞争对手)来解决这一问题。在保险库中拥有所有管理员凭据，带有随机密码，这样真实的人就不知道密码，因此必须使用凭证库来启动RDP会话。此外，将凭据设置为要求“签出”，因此只能使用一次。

这使您可以对所有连接尝试进行审计( imho比技术使用限制更有价值)，并在每次使用凭据时重新设置密码。

这在技术上仍然不是“限制并发登录”，但在现实生活中应该非常接近。