Bagikan melalui

Lampiran G: Mengamankan Grup Administrator di Direktori Aktif

Lampiran G: Mengamankan Grup Administrator di Direktori Aktif

Seperti halnya dengan grup Admin Perusahaan (EA) dan Admin Domain (DA), keanggotaan dalam grup Administrator bawaan (BA) harus diperlukan hanya dalam skenario build atau pemulihan bencana. Seharusnya tidak ada akun pengguna sehari-hari di grup Administrator dengan pengecualian akun Administrator Bawaan untuk domain, jika telah diamankan seperti yang dijelaskan dalam Lampiran D: Mengamankan Akun Administrator Bawaan di Direktori Aktif.

Administrator, secara default, pemilik sebagian besar objek AD DS di domain masing-masing. Keanggotaan dalam grup ini mungkin diperlukan dalam skenario build atau pemulihan bencana di mana kepemilikan atau kemampuan untuk mengambil kepemilikan objek diperlukan. Selain itu, EA dan EA mewarisi sejumlah hak dan izin mereka berdasarkan keanggotaan default mereka di grup Administrator. Grup default yang berlapis untuk grup istimewa di Direktori Aktif tidak boleh dimodifikasi, dan grup Administrator setiap domain harus diamankan seperti yang dijelaskan dalam instruksi langkah demi langkah yang mengikuti.

! PERHATIAN Langkah-langkah yang dijelaskan dalam dokumen ini harus diuji secara menyeluruh di lingkungan non-produksi sebelum dieksekusi dalam produksi.

Untuk grup Administrator di setiap domain di forest:

  1. Hapus semua anggota dari grup Administrator, dengan kemungkinan pengecualian akun Administrator bawaan untuk domain, asalkan telah diamankan seperti yang dijelaskan dalam Lampiran D: Mengamankan Akun Administrator Bawaan di Direktori Aktif.

  2. Dalam GPO yang ditautkan ke OU yang berisi server anggota dan stasiun kerja di setiap domain, grup BA harus ditambahkan ke hak pengguna berikut di Konfigurasi Komputer\Kebijakan\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal\ Penetapan Hak Pengguna:

    • Tolak akses ke komputer ini dari jaringan

    • Tolak masuk sebagai pekerjaan batch

    • Menolak masuk sebagai layanan

  3. Di unit organisasi pengontrol domain di setiap domain di forest, grup Administrator harus diberikan hak pengguna berikut:

    • Akses komputer ini dari jaringan

    • Perbolehkan masuk secara lokal

    • Perbolehkan masuk melalui Layanan Desktop Jarak Jauh

  4. Audit harus dikonfigurasi untuk mengirim pemberitahuan jika ada modifikasi yang dilakukan pada properti atau keanggotaan grup Administrator.

Instruksi Langkah demi Langkah untuk Menghapus Semua Anggota dari Grup Administrator

  1. Di Manajer Server, klik Alat, dan klik Pengguna direktori aktif dan Komputer.

  2. Untuk menghapus semua anggota dari grup Administrator, lakukan langkah-langkah berikut:

    1. Klik ganda grup Administrator dan klik tab Anggota.

      Cuplikan layar yang memperlihatkan tab Anggota untuk menghapus semua anggota dari Grup Administrator.

    2. Pilih anggota grup, klik Hapus, klik Ya, dan klik OK.

  3. Ulangi langkah 2 hingga semua anggota grup Administrator telah dihapus.

Instruksi Langkah demi Langkah untuk Mengamankan Grup Administrator di Direktori Aktif

  1. Di Manajer Server, klik Alat, dan klik Manajemen Kebijakan Grup.

  2. Di pohon konsol, perluas <Forest>\Domains\<Domain>, lalu Objek Kebijakan Grup (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

  3. Di pohon konsol, klik kanan Objek Kebijakan Grup, dan klik Baru.

    Cuplikan layar yang memperlihatkan tempat untuk memilih Baru sehingga Anda bisa mengamankan Grup Administrator di Direktori Aktif.

  4. Dalam kotak dialog GPO Baru, ketik <Nama> GPO, dan klik OK (di mana Nama GPO adalah nama GPO ini).

    Cuplikan layar yang memperlihatkan tempat untuk memberi nama G P O dalam kotak dialog GPO Baru sehingga Anda dapat mengamankan Grup Administrator.

  5. Di panel detail, klik <> GPO, dan klik Edit.

  6. Buka Konfigurasi Komputer\Kebijakan\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal, dan klik Penetapan Hak Pengguna.

    Cuplikan layar yang memperlihatkan tempat menavigasi sehingga Anda dapat memilih opsi Admin Hak Pengguna untuk mengamankan Grup Administrator.

  7. Konfigurasikan hak pengguna untuk mencegah anggota grup Administrator mengakses server anggota dan stasiun kerja melalui jaringan dengan melakukan hal berikut:

    1. Klik ganda Tolak akses ke komputer ini dari jaringan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK.

      Cuplikan layar yang memperlihatkan cara memverifikasi bahwa Anda telah mengonfigurasi hak pengguna untuk mencegah anggota grup Administrator mengakses server anggota dan stasiun kerja melalui jaringan.

    4. Klik OK, dan OK lagi.

  8. Konfigurasikan hak pengguna untuk mencegah anggota grup Administrator masuk sebagai pekerjaan batch dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk sebagai pekerjaan batch dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK.

      Cuplikan layar yang memperlihatkan cara memverifikasi bahwa Anda telah mengonfigurasi hak pengguna untuk mencegah anggota grup Administrator masuk sebagai pekerjaan batch.

    4. Klik OK, dan OK lagi.

  9. Konfigurasikan hak pengguna untuk mencegah anggota grup Administrator masuk sebagai layanan dengan melakukan hal berikut:

    1. Klik ganda Tolak masuk sebagai layanan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK.

      Cuplikan layar yang memperlihatkan cara memverifikasi bahwa Anda telah mengonfigurasi hak pengguna untuk mencegah anggota grup Administrator masuk sebagai layanan.

    4. Klik OK, dan OK lagi.

  10. Untuk keluar dari Editor Manajemen Kebijakan Grup, klik File, dan klik Keluar.

  11. Di Manajemen Kebijakan Grup, tautkan GPO ke server anggota dan OU stasiun kerja dengan melakukan hal berikut:

    1. Navigasi ke <Forest>>\Domains\<Domain> (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

    2. Klik kanan unit organisasi tempat GPO akan diterapkan dan klik Tautkan GPO yang ada.

      Cuplikan layar yang memperlihatkan opsi menu Tautkan G P O yang ada saat Anda mengklik kanan unit organisasi.

    3. Pilih GPO yang baru saja Anda buat dan klik OK.

      Cuplikan layar yang memperlihatkan tempat untuk memilih GPO yang baru saja Anda buat.

    4. Buat tautan ke semua OU lain yang berisi stasiun kerja.

    5. Buat tautan ke semua OU lain yang berisi server anggota.

      Penting

      Jika jump server digunakan untuk mengelola pengontrol domain dan Direktori Aktif, pastikan bahwa server jump terletak di OU tempat GPO ini tidak ditautkan.

      Catatan

      Saat Anda menerapkan pembatasan pada grup Administrator di GPO, Windows menerapkan pengaturan untuk anggota grup Administrator lokal komputer selain grup Administrator domain. Oleh karena itu, Anda harus berhati-hati saat menerapkan pembatasan di grup Administrator. Meskipun melarang masuk jaringan, batch, dan layanan untuk anggota grup Administrator disarankan di mana pun diizinkan untuk menerapkan, jangan membatasi logon atau logon lokal melalui Layanan Desktop Jarak Jauh. Memblokir jenis log masuk ini dapat memblokir administrasi komputer yang sah oleh anggota grup Administrator lokal.

      Cuplikan layar berikut menunjukkan pengaturan konfigurasi yang memblokir penyalahgunaan akun Administrator lokal dan domain bawaan, selain penyalahgunaan grup Administrator lokal atau domain bawaan. Perhatikan bahwa hak pengguna Tolak masuk melalui Layanan Desktop Jauh tidak menyertakan grup Administrator, karena menyertakannya dalam pengaturan ini juga akan memblokir logon ini untuk akun yang merupakan anggota grup Administrator komputer lokal. Jika layanan di komputer dikonfigurasi untuk berjalan dalam konteks salah satu grup istimewa yang dijelaskan di bagian ini, menerapkan pengaturan ini dapat menyebabkan layanan dan aplikasi gagal. Oleh karena itu, seperti semua rekomendasi di bagian ini, Anda harus menguji pengaturan secara menyeluruh untuk penerapan di lingkungan Anda.

      Cuplikan layar yang memperlihatkan pengaturan konfigurasi yang memblokir penyalahgunaan akun Administrator lokal dan domain bawaan.

Instruksi Langkah demi Langkah untuk Memberikan Hak Pengguna kepada Grup Administrator

  1. Di Manajer Server, klik Alat, dan klik Manajemen Kebijakan Grup.

  2. Di pohon konsol, perluas <Forest>\Domains\<Domain>, lalu Objek Kebijakan Grup (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

  3. Di pohon konsol, klik kanan Objek Kebijakan Grup, dan klik Baru.

    Cuplikan layar yang memperlihatkan menu yang ditampilkan saat Anda mengklik kanan Objek Kebijakan Grup.

  4. Dalam kotak dialog GPO Baru, ketik <Nama> GPO, dan klik OK (di mana <Nama> GPO adalah nama GPO ini).

    Cuplikan layar yang memperlihatkan tempat untuk memberi nama G P O sehingga Anda dapat mengamankan Grup Administrator.

  5. Di panel detail, klik <> GPO, dan klik Edit.

  6. Buka Konfigurasi Komputer\Kebijakan\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal, dan klik Penetapan Hak Pengguna.

    Cuplikan layar yang memperlihatkan tempat menavigasi sehingga Anda bisa memilih Admin Hak Pengguna untuk mengamankan Grup Administrator.

  7. Konfigurasikan hak pengguna untuk mengizinkan anggota grup Administrator mengakses pengontrol domain melalui jaringan dengan melakukan hal berikut:

    1. Klik dua kali Akses ke komputer ini dari jaringan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

      Cuplikan layar yang memperlihatkan cara memverifikasi bahwa Anda telah mengonfigurasi hak pengguna untuk mengizinkan anggota grup Administrator mengakses pengontrol domain melalui jaringan.

    4. Klik OK, dan OK lagi.

  8. Konfigurasikan hak pengguna untuk mengizinkan anggota grup Administrator masuk secara lokal dengan melakukan hal berikut:

    1. Klik ganda Izinkan log masuk secara lokal dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK.

      Cuplikan layar yang memperlihatkan cara memverifikasi bahwa Anda telah mengonfigurasi hak pengguna untuk mengizinkan anggota grup Administrator masuk secara lokal.

    4. Klik OK, dan OK lagi.

  9. Konfigurasikan hak pengguna untuk mengizinkan anggota grup Administrator masuk melalui Layanan Desktop Jauh dengan melakukan hal berikut:

    1. Klik dua kali Izinkan masuk melalui Layanan Desktop Jauh dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK.

      Cuplikan layar yang memperlihatkan cara memverifikasi bahwa Anda telah mengonfigurasi hak pengguna untuk mengizinkan anggota grup Administrator masuk melalui Layanan Desktop Jarak Jauh.

    4. Klik OK, dan OK lagi.

  10. Untuk keluar dari Editor Manajemen Kebijakan Grup, klik File, dan klik Keluar.

  11. Di Manajemen Kebijakan Grup, tautkan GPO ke OU pengontrol domain dengan melakukan hal berikut:

    1. Navigasi ke <Forest>\Domains\<Domain> (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

    2. Klik kanan unit organisasi pengontrol domain dan klik Tautkan GPO yang ada.

      Cuplikan layar yang memperlihatkan opsi menu Tautkan GPO yang ada saat Anda mencoba menautkan G P O ke OU pengontrol domain.

    3. Pilih GPO yang baru saja Anda buat dan klik OK.

      Cuplikan layar yang memperlihatkan tempat untuk memilih GPO yang baru saja Anda buat saat menautkan G P O ke stasiun kerja dan server anggota.

Langkah-langkah Verifikasi

Verifikasi Pengaturan GPO "Tolak akses ke komputer ini dari jaringan"

Dari server anggota atau stasiun kerja apa pun yang tidak terpengaruh oleh perubahan GPO (seperti "jump server"), coba akses server anggota atau stasiun kerja melalui jaringan yang terpengaruh oleh perubahan GPO. Untuk memverifikasi pengaturan GPO, coba petakan drive sistem dengan menggunakan perintah NET USE .

  1. Masuk secara lokal menggunakan akun yang merupakan anggota grup Administrator.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik perintah, klik kanan Prompt Perintah, lalu klik Jalankan sebagai administrator untuk membuka prompt perintah yang ditinggikan.

  4. Ketika diminta untuk menyetujui elevasi, klik Ya.

    Cuplikan layar yang menyoroti kotak dialog Kontrol Akun Pengguna.

  5. Di jendela Prompt Perintah, ketik net use \\<Server Name>\c$, di mana <Nama> Server adalah nama server anggota atau stasiun kerja yang coba Anda akses melalui jaringan.

  6. Cuplikan layar berikut menunjukkan pesan kesalahan yang akan muncul.

    Cuplikan layar yang menyoroti pesan kesalahan kegagalan masuk.

Verifikasi Pengaturan GPO "Tolak masuk sebagai pekerjaan batch"

Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

Membuat File Batch

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik notepad, dan klik Notepad.

  3. Di Notepad, ketik dir c:.

  4. Klik File, dan klik Simpan Sebagai.

  5. Di bidang Nama file, ketik <Nama> File.bat (di mana <Nama> File adalah nama file batch baru).

Menjadwalkan Tugas

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik penjadwal tugas, dan klik Penjadwal Tugas.

    Catatan

    Pada komputer yang menjalankan Windows 8, di kotak Pencarian, ketik tugas jadwal, dan klik Jadwalkan tugas.

  3. Klik Tindakan, dan klik Buat Tugas.

  4. Dalam kotak dialog Buat Tugas, ketik< Nama> Tugas (di mana <Nama> Tugas adalah nama tugas baru).

  5. Klik tab Tindakan , dan klik Baru.

  6. Di bidang Tindakan, pilih Mulai program.

  7. Di bidang Program/skrip, klik Telusuri, temukan dan pilih file batch yang dibuat di bagian Buat File Batch, dan klik Buka.

  8. Klik OK.

  9. Klik tab Umum.

  10. Di bidang Opsi keamanan, klik Ubah Pengguna atau Grup.

  11. Ketik nama akun yang merupakan anggota grup Administrator, klik Periksa Nama, dan klik OK.

  12. Pilih Jalankan apakah pengguna masuk atau tidak dan Jangan simpan kata sandi. Tugas hanya akan memiliki akses ke sumber daya komputer lokal.

  13. Klik OK.

  14. Kotak dialog akan muncul, meminta kredensial akun pengguna untuk menjalankan tugas.

  15. Setelah memasukkan kata sandi, klik OK.

  16. Kotak dialog yang mirip dengan yang berikut ini akan muncul.

    Cuplikan layar yang menyoroti kotak dialog Penjadwal Tugas.

Verifikasi Pengaturan GPO "Tolak masuk sebagai layanan"

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bidang Masuk sebagai, pilih Akun ini.

  7. Klik Telusuri, ketik nama akun yang merupakan anggota grup Administrator, klik Periksa Nama, dan klik OK.

  8. Di bidang Kata Sandi dan Konfirmasi kata sandi, ketik kata sandi akun yang dipilih, dan klik OK.

  9. Klik OK tiga kali lagi.

  10. Klik kanan Cetak Penampung dan klik Mulai Ulang.

  11. Saat layanan dimulai ulang, kotak dialog yang mirip dengan yang berikut ini akan muncul.

    grup admin aman

Kembalikan Perubahan ke Layanan Penampung Printer

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bidang Masuk sebagai, klik Akun Sistem Lokal, dan klik OK.