Bagikan melalui

Lampiran E: Mengamankan Grup Admin Perusahaan di Direktori Aktif

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Lampiran E: Mengamankan Grup Admin Perusahaan di Direktori Aktif

Grup Admin Perusahaan (EA), yang ditempatkan di domain akar hutan, tidak boleh berisi pengguna sehari-hari, dengan kemungkinan pengecualian akun Administrator domain akar, asalkan diamankan seperti yang dijelaskan dalam Lampiran D: Mengamankan Akun Administrator Bawaan di Direktori Aktif.

Admin Perusahaan adalah, secara default, anggota grup Administrator di setiap domain di forest. Anda tidak boleh menghapus grup EA dari grup Administrator di setiap domain karena jika terjadi skenario pemulihan bencana hutan, hak EA kemungkinan akan diperlukan. Grup Admin Perusahaan forest harus diamankan sebagaimana dirinci dalam instruksi langkah demi langkah berikut.

Untuk grup Admin Perusahaan di forest:

  1. Di GPO yang ditautkan ke OU yang berisi server anggota dan stasiun kerja di setiap domain, grup Admin Perusahaan harus ditambahkan ke hak pengguna berikut di Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal\Penetapan Hak Pengguna:

    • Tolak akses ke komputer ini dari jaringan

    • Tolak masuk sebagai pekerjaan batch

    • Menolak masuk sebagai layanan

    • Tolak masuk secara lokal

    • Tolak masuk melalui Layanan Desktop Jarak Jauh

  2. Konfigurasikan audit untuk mengirim pemberitahuan jika ada modifikasi yang dilakukan pada properti atau keanggotaan grup Admin Perusahaan.

Instruksi Langkah demi Langkah untuk Menghapus Semua Anggota dari Grup Admin Perusahaan

  1. Di Manajer Server, klik Alat, dan klik Pengguna direktori aktif dan Komputer.

  2. Jika Anda tidak mengelola domain akar untuk forest, di pohon konsol, klik <kanan Domain>, lalu klik Ubah Domain (di mana <Domain> adalah nama domain yang saat ini Anda kelola).

    Screenshot that highlights the Change Domain menu option.

  3. Dalam kotak dialog Ubah domain , klik Telusuri, pilih domain akar untuk forest, dan klik OK.

    Screenshot that shows the OK button in the Change domain dialog box.

  4. Untuk menghapus semua anggota dari grup EA:

    1. Klik ganda grup Admin Perusahaan lalu klik tab Anggota.

      Screenshot that shows the Members tab within the Enterprise Admins group.

    2. Pilih anggota grup, klik Hapus, klik Ya, dan klik OK.

  5. Ulangi langkah 2 hingga semua anggota grup EA telah dihapus.

Instruksi Langkah demi Langkah untuk Mengamankan Admin Perusahaan di Direktori Aktif

  1. Di Manajer Server, klik Alat, dan klik Manajemen Kebijakan Grup.

  2. Di pohon konsol, expandv <Forest>\Domains\<Domain>, lalu Objek Kebijakan Grup (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

    Catatan

    Di forest yang berisi beberapa domain, GPO serupa harus dibuat di setiap domain yang mengharuskan grup Admin Perusahaan diamankan.

  3. Di pohon konsol, klik kanan Objek Kebijakan Grup, dan klik Baru.

    Screenshot that shows the New menu option in the Group Policy Objects menu.

  4. Dalam kotak dialog GPO Baru, ketik <Nama> GPO, dan klik OK (di mana <Nama> GPO adalah nama GPO ini).

    Screenshot that shows where to type the GPO name and select the source starter GPO.

  5. Di panel detail, klik <kanan Nama> GPO, dan klik Edit.

  6. Buka Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal, dan klik Penetapan Hak Pengguna.

    Screenshot that shows where to select User Rights Assignment.

  7. Konfigurasikan hak pengguna untuk mencegah anggota grup Admin Perusahaan mengakses server anggota dan stasiun kerja melalui jaringan dengan melakukan hal berikut:

    1. Klik ganda Tolak akses ke komputer ini dari jaringan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Admin Perusahaan, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations over the network.

    4. Klik OK, dan OK lagi.

  8. Konfigurasikan hak pengguna untuk mencegah anggota grup Admin Perusahaan masuk sebagai pekerjaan batch dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk sebagai pekerjaan batch dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

      Catatan

      Di forest yang berisi beberapa domain, klik Lokasi dan pilih domain akar forest.

    3. Ketik Admin Perusahaan, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from logging on as a batch job.

    4. Klik OK, dan OK lagi.

  9. Konfigurasikan hak pengguna untuk mencegah anggota grup EA masuk sebagai layanan dengan melakukan hal berikut:

    1. Klik ganda Tolak log sebagai layanan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup lalu klik Telusuri.

      Catatan

      Di forest yang berisi beberapa domain, klik Lokasi dan pilih domain akar forest.

    3. Ketik Admin Perusahaan, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the EA group from logging on as a service.

    4. Klik OK, dan OK lagi.

  10. Konfigurasikan hak pengguna untuk mencegah anggota grup Admin Perusahaan masuk secara lokal ke server anggota dan stasiun kerja dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk secara lokal dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup lalu klik Telusuri.

      Catatan

      Di forest yang berisi beberapa domain, klik Lokasi dan pilih domain akar forest.

    3. Ketik Admin Perusahaan, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you have configured user rights to prevent members of the Enterprise Admins group from logging on locally to member servers and workstations.

    4. Klik OK, dan OK lagi.

  11. Konfigurasikan hak pengguna untuk mencegah anggota grup Admin Perusahaan mengakses server anggota dan stasiun kerja melalui Layanan Desktop Jauh dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk melalui Layanan Desktop Jauh dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup lalu klik Telusuri.

      Catatan

      Di forest yang berisi beberapa domain, klik Lokasi dan pilih domain akar forest.

    3. Ketik Admin Perusahaan, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations via Remote Desktop Services.

    4. Klik OK, dan OK lagi.

  12. Untuk keluar dari Editor Manajemen Kebijakan Grup, klik File, dan klik Keluar.

  13. Di Manajemen Kebijakan Grup, tautkan GPO ke server anggota dan OU stasiun kerja dengan melakukan hal berikut:

    1. Navigasi ke <Forest>\Domains\<Domain> (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

    2. Klik kanan unit organisasi tempat GPO akan diterapkan dan klik Tautkan GPO yang ada.

      Screenshot that highlights the Link an existing GPO menu option.

    3. Pilih GPO yang baru saja Anda buat dan klik OK.

      Screenshot that shows where to select the GPO that you just created.

    4. Buat tautan ke semua OU lain yang berisi stasiun kerja.

    5. Buat tautan ke semua OU lain yang berisi server anggota.

    6. Di forest yang berisi beberapa domain, GPO serupa harus dibuat di setiap domain yang mengharuskan grup Admin Perusahaan diamankan.

Penting

Jika jump server digunakan untuk mengelola pengontrol domain dan Direktori Aktif, pastikan bahwa server jump terletak di OU tempat GPO ini tidak ditautkan.

Langkah-langkah Verifikasi

Verifikasi GPO "Tolak akses ke komputer ini dari jaringan" Pengaturan

Dari server anggota atau stasiun kerja apa pun yang tidak terpengaruh oleh perubahan GPO (seperti "jump server"), coba akses server anggota atau stasiun kerja melalui jaringan yang terpengaruh oleh perubahan GPO. Untuk memverifikasi pengaturan GPO, coba petakan drive sistem dengan menggunakan perintah NET USE dengan melakukan langkah-langkah berikut:

  1. Masuk secara lokal menggunakan akun yang merupakan anggota grup EA.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik perintah, klik kanan Prompt Perintah, lalu klik Jalankan sebagai administrator untuk membuka prompt perintah yang ditinggikan.

  4. Ketika diminta untuk menyetujui elevasi, klik Ya.

    Screenshot that shows the dialog box where you approve the elevation.

  5. Di jendela Prompt Perintah, ketik net use \\<Server Name>\c$, di mana <Nama> Server adalah nama server anggota atau stasiun kerja yang coba Anda akses melalui jaringan.

  6. Cuplikan layar berikut menunjukkan pesan kesalahan yang akan muncul.

    Screenshot that shows the error message that should appear.

Verifikasi GPO "Tolak masuk sebagai pekerjaan batch" Pengaturan

Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

Membuat File Batch

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik notepad, dan klik Notepad.

  3. Di Notepad, ketik dir c:.

  4. Klik File, dan klik Simpan Sebagai.

  5. Dalam kotak Nama file, ketik <Filename.bat> (di mana <Filename> adalah nama file batch baru).

Menjadwalkan Tugas

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik penjadwal tugas, dan klik Penjadwal Tugas.

    Catatan

    Pada komputer yang menjalankan Windows 8, di kotak Pencarian , ketik tugas jadwal, dan klik Jadwalkan tugas.

  3. Klik Tindakan, dan klik Buat Tugas.

  4. Dalam kotak dialog Buat Tugas, ketik< Nama> Tugas (di mana <Nama> Tugas adalah nama tugas baru).

  5. Klik tab Tindakan , dan klik Baru.

  6. Di bidang Tindakan, pilih Mulai program.

  7. Di bawah Program/skrip, klik Telusuri, temukan dan pilih file batch yang dibuat di bagian Buat File Batch, dan klik Buka.

  8. Klik OK.

  9. Klik tab Umum.

  10. Di bidang Opsi keamanan, klik Ubah Pengguna atau Grup.

  11. Ketik nama akun yang merupakan anggota grup EA, klik Periksa Nama, dan klik OK.

  12. Pilih Jalankan apakah pengguna masuk atau tidak dan pilih Jangan simpan kata sandi. Tugas hanya akan memiliki akses ke sumber daya komputer lokal.

  13. Klik OK.

  14. Kotak dialog akan muncul, meminta kredensial akun pengguna untuk menjalankan tugas.

  15. Setelah memasukkan kredensial, klik OK.

  16. Kotak dialog yang mirip dengan yang berikut ini akan muncul.

    Screenshot that shows the Task Scheduler dialog box.

Verifikasi GPO "Tolak masuk sebagai layanan" Pengaturan

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bawah Masuk sebagai, pilih Akun ini.

  7. Klik Telusuri, ketik nama akun yang merupakan anggota grup EA, klik Periksa Nama, dan klik OK.

  8. Di bawah Kata Sandi: dan Konfirmasi kata sandi, ketik kata sandi akun yang dipilih, dan klik OK.

  9. Klik OK tiga kali lagi.

  10. Klik kanan layanan Print Spooler dan pilih Mulai ulang.

  11. Saat layanan dimulai ulang, kotak dialog yang mirip dengan yang berikut ini akan muncul.

    Screenshot that shows a message that says that Windows could not start the Print Spooler server.

Kembalikan Perubahan ke Layanan Penampung Printer

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bawah Masuk sebagai, pilih akun Sistem Lokal, dan klik OK.

Verifikasi GPO "Tolak masuk secara lokal" Pengaturan

  1. Dari server anggota atau stasiun kerja apa pun yang terpengaruh oleh perubahan GPO, coba masuk secara lokal menggunakan akun yang merupakan anggota grup EA. Kotak dialog yang mirip dengan yang berikut ini akan muncul.

    Screenshot that shows a message that says that the sign-in method you're using isn't allowed.

Verifikasi GPO "Tolak masuk melalui Layanan Desktop Jarak Jauh" Pengaturan

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian, ketik koneksi desktop jarak jauh, lalu klik Koneksi ion Desktop Jauh.

  3. Di bidang Komputer, ketik nama komputer yang ingin Anda sambungkan, lalu klik Koneksi. (Anda juga dapat mengetik alamat IP alih-alih nama komputer.)

  4. Saat diminta, berikan kredensial untuk akun yang merupakan anggota grup EA.

  5. Kotak dialog yang mirip dengan yang berikut ini akan muncul.

    secure enterprise admin groups