Guide: Policy for lokal pålogging

Guide: Policy for lokal pålogging

Per Ståle
5 kommentarer

Et av mange sikkerhetstiltak på en server, så vel som en arbeidsstasjon, kan være å begrense hvilke brukere som kan logge seg på maskinen lokalt.

Mang en IT-ansvarlig har vel sittet i de sene nattetimer for å sikre serveren på nettverket. Men mange tenker lite over å sikre maskinen fysisk. Har man gått hardt inn for å sikre serveren logisk men ikke fysisk, kan det fremdeles voldes skade på serveren.

Derfor vil denne guiden vise hvordan man kan kontrollere hvilke brukere og brukergrupper som skal få lov til å logge seg på en klient eller server lokalt.

Klientmaskiner

For å endre policy:
Windowstast + r, og skriv gpedit.msc

Deretter leter du opp regelen i følgende mappe:

eller benytt følgende sti:
Kontrollpanel / Administrative verktøy / Lokal sikkerhetspolicy / Lokale policyer / Tilordning av brukerrettigheter

Dobbeltklikk på regelen “Logg på lokalt” og definer hvilke brukergrupper som skal ha tilgang til å logge på datamaskinen.

Standard oppsett i denne regelen er:

  • Administratorer
  • Backupbrukere
  • Gjest
  • Privilegerte brukere
  • Brukere

    Server

    På en server er det tre forskjellige måter å definere brukere som skal kunne logge seg på lokalt.
    Lokal sikkerhetspolicy
    Skal du sette denne policyen kun for den aktuelle serveren, benytter du denne metoden.
    Vi går derfor inn på lokale policyer for å endre regelen.
    Windowstast + r, og skriv gpedit.msc

    Deretter leter du opp regelen i følgende mappe:

    I vinduet der du endrer hvilke brukere som skal ha tilgang og ikke, finner du en kolonne som heter “Lokal policyinnstilling” og “Effektiv policyinnstilling”. Den “lokale” kolonnen inneholder sjekkboksene for brukerne man legger til som gjelder lokalt. Den andre kolonnen viser hva som er gjort ellers på serveren når det gjelder tilgangsrettigheter. Her spiller Group Policy Object (GPO) og lignende inn. Har man endret noe der som går på tilgangen til brukeren vises det i den kolonnen. Innstillinger som GPO oppdateres hvert 90. minutt +/- 30 minutter på serveren.

    Domain Security Policy
    Domain Policy gjelder alle som er medlem av domenet.
    Kontrollpanel / Administrative verktøy / Domain Security Policy / Lokale policyer / Tilordning av brukerrettigheter
    Der finner du samme regel som i punktet ovenfor, altså “log on locally”.

    Domain Controller Security Policy
    DC Policy gjelder bare domenekontrollerne, men settinger her kan indirekte ha innvirkning på hva brukerne tillates.
    Kontrollpanel / Administrative verktøy / Domain Security Policy / Lokale policyer / Tilordning av brukerrettigheter
    Her benyttes også den samme regelen.