出于许多原因，不建议使用本地帐户(包括本地管理员帐户)通过网络访问Active Directory环境中的另一台计算机。相同的本地管理员登录名和密码通常在许多计算机上使用，如果一台计算机受到威胁(通过哈希威胁)，会使许多计算机处于危险之中。此外，使用本地帐户访问网络很难拟人化和集中监控，因为它没有在AD域控制器上注册。

为了减少风险，管理员重命名Windows Administrator的标准本地帐户。在域中的每台计算机上将管理员密码定期更改为唯一的(例如。使用MS Local Administrator Password Solution)可显著提高本地管理员帐户的安全性。但是这个解决方案不能限制所有本地帐户的网络访问，因为一台计算机上可以有多个本地帐户。

我们可以使用“拒绝从网络”策略对此计算机的访问来限制本地帐户的访问。但此策略要求显式列出所有将拒绝访问的帐户。

在Windows 8.1和Windows Server 2012 R2中，出现了两个带有新SID的新安全组(众所周知的组)。这意味着现在不需要列出本地帐户的所有可能的SID，而是使用通用SID。

使用本地帐户登录时，这些组将添加到用户访问令牌中。

确保为本地管理员帐户分配了两个新组-NT AUTHORITY\Local account(SID S-1-5-113)和NT AUTHORITY\Local account and member of Administrators组(SID S-1-5-114))：

Whoami /all

要限制令牌中包含这些SID的本地帐户的网络访问，可以使用 计算机配置->Windows设置->安全设置->本地策略->用户权限分配中的以下策略。

拒绝从网络访问此计算机

拒绝通过远程桌面服务登录

使用gpupdate/force将Local account和Local account and member of Administrators group添加到策略并更新策略。

系统管理员已限制我们可以使用的登录类型(网络或者交互式)。如需帮助，请与系统管理员或者技术支持联系。

很重要。值得注意的是，如果策略应用于Active Directory域以外的计算机，则只能使用本地控制台访问此计算机。

因此，我们可以拒绝使用本地帐户进行网络访问，而不考虑其名称，并提高公司环境的安全级别。