Bagikan melalui

Lampiran F: Mengamankan Grup Admin Domain di Direktori Aktif

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Lampiran F: Mengamankan Grup Admin Domain di Direktori Aktif

Seperti halnya dengan grup Admin Perusahaan (EA), keanggotaan dalam grup Admin Domain (DA) harus diperlukan hanya dalam skenario build atau pemulihan bencana. Seharusnya tidak ada akun pengguna sehari-hari di grup DA dengan pengecualian akun Administrator bawaan untuk domain, jika telah diamankan seperti yang dijelaskan dalam Lampiran D: Mengamankan Akun Administrator Bawaan di Direktori Aktif.

Admin Domain adalah, secara default, anggota grup Administrator lokal di semua server anggota dan stasiun kerja di domain masing-masing. Berlapis default ini tidak boleh dimodifikasi untuk tujuan dukungan dan pemulihan bencana. Jika Admin Domain telah dihapus dari grup Administrator lokal di server anggota, grup harus ditambahkan ke grup Administrator di setiap server anggota dan stasiun kerja di domain. Setiap grup Admin Domain domain harus diamankan seperti yang dijelaskan dalam instruksi langkah demi langkah berikut.

Untuk grup Admin Domain di setiap domain di forest:

  1. Hapus semua anggota dari grup, dengan kemungkinan pengecualian akun Administrator bawaan untuk domain, asalkan telah diamankan seperti yang dijelaskan dalam Lampiran D: Mengamankan Akun Administrator Bawaan di Direktori Aktif.

  2. Dalam GPO yang ditautkan ke OU yang berisi server anggota dan stasiun kerja di setiap domain, grup DA harus ditambahkan ke hak pengguna berikut di Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Assignments:

    • Tolak akses ke komputer ini dari jaringan

    • Tolak masuk sebagai pekerjaan batch

    • Menolak masuk sebagai layanan

    • Tolak masuk secara lokal

    • Tolak masuk melalui hak pengguna Layanan Desktop Jarak Jauh

  3. Audit harus dikonfigurasi untuk mengirim pemberitahuan jika ada modifikasi yang dilakukan pada properti atau keanggotaan grup Admin Domain.

Instruksi Langkah demi Langkah untuk Menghapus semua Anggota dari Grup Admin Domain

  1. Di Manajer Server, klik Alat, dan klik Pengguna direktori aktif dan Komputer.

  2. Untuk menghapus semua anggota dari grup DA, lakukan langkah-langkah berikut:

    1. Klik ganda grup Admin Domain dan klik tab Anggota.

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. Pilih anggota grup, klik Hapus, klik Ya, dan klik OK.

  3. Ulangi langkah 2 hingga semua anggota grup DA telah dihapus.

Instruksi Langkah demi Langkah untuk Mengamankan Admin Domain di Direktori Aktif

  1. Di Manajer Server, klik Alat, dan klik Manajemen Kebijakan Grup.

  2. Di pohon konsol, perluas <Forest>\Domains\<Domain>, lalu Objek Kebijakan Grup (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

  3. Di pohon konsol, klik kanan Objek Kebijakan Grup, dan klik Baru.

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. Dalam kotak dialog GPO Baru, ketik <Nama> GPO, dan klik OK (di mana <Nama> GPO adalah nama GPO ini).

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. Di panel detail, klik <kanan Nama> GPO, dan klik Edit.

  6. Buka Konfigurasi Komputer\Kebijakan\Windows Pengaturan\Keamanan Pengaturan\Kebijakan Lokal, dan klik Penetapan Hak Pengguna.

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. Konfigurasikan hak pengguna untuk mencegah anggota grup Admin Domain mengakses server anggota dan stasiun kerja melalui jaringan dengan melakukan hal berikut:

    1. Klik ganda Tolak akses ke komputer ini dari jaringan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Admin Domain, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. Klik OK, dan OK lagi.

  8. Konfigurasikan hak pengguna untuk mencegah anggota grup DA masuk sebagai pekerjaan batch dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk sebagai pekerjaan batch dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Admin Domain, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. Klik OK, dan OK lagi.

  9. Konfigurasikan hak pengguna untuk mencegah anggota grup DA masuk sebagai layanan dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk sebagai layanan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Admin Domain, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. Klik OK, dan OK lagi.

  10. Konfigurasikan hak pengguna untuk mencegah anggota grup Admin Domain masuk secara lokal ke server anggota dan stasiun kerja dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk secara lokal dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Admin Domain, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. Klik OK, dan OK lagi.

  11. Konfigurasikan hak pengguna untuk mencegah anggota grup Admin Domain mengakses server anggota dan stasiun kerja melalui Layanan Desktop Jarak Jauh dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk melalui Layanan Desktop Jauh dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Admin Domain, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. Klik OK, dan OK lagi.

  12. Untuk keluar dari Editor Manajemen Kebijakan Grup, klik File, dan klik Keluar.

  13. Di Manajemen Kebijakan Grup, tautkan GPO ke server anggota dan OU stasiun kerja dengan melakukan hal berikut:

    1. Navigasi ke <Forest>\Domains\<Domain> (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

    2. Klik kanan unit organisasi tempat GPO akan diterapkan dan klik Tautkan GPO yang ada.

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. Pilih GPO yang baru saja Anda buat dan klik OK.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. Buat tautan ke semua OU lain yang berisi stasiun kerja.

    5. Buat tautan ke semua OU lain yang berisi server anggota.

      Penting

      Jika jump server digunakan untuk mengelola pengontrol domain dan Direktori Aktif, pastikan bahwa server jump terletak di OU tempat GPO ini tidak ditautkan.

Langkah-langkah Verifikasi

Verifikasi GPO "Tolak akses ke komputer ini dari jaringan" Pengaturan

Dari server anggota atau stasiun kerja apa pun yang tidak terpengaruh oleh perubahan GPO (seperti "jump server"), coba akses server anggota atau stasiun kerja melalui jaringan yang terpengaruh oleh perubahan GPO. Untuk memverifikasi pengaturan GPO, coba petakan drive sistem dengan menggunakan perintah NET USE .

  1. Masuk secara lokal menggunakan akun yang merupakan anggota grup Admin Domain.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik perintah, klik kanan Prompt Perintah, lalu klik Jalankan sebagai administrator untuk membuka prompt perintah yang ditinggikan.

  4. Ketika diminta untuk menyetujui elevasi, klik Ya.

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. Di jendela Prompt Perintah, ketik net use \\<Server Name>\c$, di mana <Nama> Server adalah nama server anggota atau stasiun kerja yang coba Anda akses melalui jaringan.

  6. Cuplikan layar berikut menunjukkan pesan kesalahan yang akan muncul.

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

Verifikasi GPO "Tolak masuk sebagai pekerjaan batch" Pengaturan

Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

Membuat File Batch

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik notepad, dan klik Notepad.

  3. Di Notepad, ketik dir c:.

  4. Klik File, dan klik Simpan Sebagai.

  5. Di bidang Nama file, ketik< Filename.bat> (di mana <Filename> adalah nama file batch baru).

Menjadwalkan Tugas

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik penjadwal tugas, dan klik Penjadwal Tugas.

    Catatan

    Pada komputer yang menjalankan Windows 8, di kotak Pencarian , ketik tugas jadwal, dan klik Jadwalkan tugas.

  3. Di bilah menu Penjadwal Tugas, klik Tindakan, dan klik Buat Tugas.

  4. Dalam kotak dialog Buat Tugas, ketik< Nama> Tugas (di mana <Nama> Tugas adalah nama tugas baru).

  5. Klik tab Tindakan , dan klik Baru.

  6. Di bidang Tindakan, pilih Mulai program.

  7. Di bawah Program/skrip, klik Telusuri, temukan dan pilih file batch yang dibuat di bagian Buat File Batch, dan klik Buka.

  8. Klik OK.

  9. Klik tab Umum.

  10. Di bawah Opsi keamanan , klik Ubah Pengguna atau Grup.

  11. Ketik nama akun yang merupakan anggota grup Admin Domain, klik Periksa Nama, dan klik OK.

  12. Pilih Jalankan apakah pengguna masuk atau tidak dan pilih Jangan simpan kata sandi. Tugas hanya akan memiliki akses ke sumber daya komputer lokal.

  13. Klik OK.

  14. Kotak dialog akan muncul, meminta kredensial akun pengguna untuk menjalankan tugas.

  15. Setelah memasukkan kredensial, klik OK.

  16. Kotak dialog yang mirip dengan yang berikut ini akan muncul.

    Screenshot that shows the error that should occur after you enter the credentials.

Verifikasi GPO "Tolak masuk sebagai layanan" Pengaturan

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bawah Masuk sebagai, pilih opsi Akun ini.

  7. Klik Telusuri, ketik nama akun yang merupakan anggota grup Admin Domain, klik Periksa Nama, dan klik OK.

  8. Di bawah Kata Sandi dan Konfirmasi kata sandi, ketik kata sandi akun yang dipilih, dan klik OK.

  9. Klik OK tiga kali lagi.

  10. Klik kanan Cetak Penampung dan klik Mulai Ulang.

  11. Saat layanan dimulai ulang, kotak dialog yang mirip dengan yang berikut ini akan muncul.

    Screenshot that shows the dialog box that appears after the service is restarted.

Kembalikan Perubahan ke Layanan Penampung Printer

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bawah Masuk sebagai, pilih akun Sistem Lokal, dan klik OK.

Verifikasi GPO "Tolak masuk secara lokal" Pengaturan

  1. Dari server anggota atau stasiun kerja apa pun yang terpengaruh oleh perubahan GPO, coba masuk secara lokal menggunakan akun yang merupakan anggota grup Admin Domain. Kotak dialog yang mirip dengan yang berikut ini akan muncul.

    secure domain admin groups

Verifikasi GPO "Tolak masuk melalui Layanan Desktop Jarak Jauh" Pengaturan

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian, ketik koneksi desktop jarak jauh, dan klik Koneksi ion Desktop Jauh.

  3. Di bidang Komputer, ketik nama komputer yang ingin Anda sambungkan, dan klik Koneksi. (Anda juga dapat mengetik alamat IP alih-alih nama komputer.)

  4. Saat diminta, berikan kredensial untuk akun yang merupakan anggota grup Admin Domain.

  5. Kotak dialog yang mirip dengan yang berikut ini akan muncul.

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.