Condividi tramite

Appendice F: Protezione dei gruppi Domain Admins in Active Directory

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Appendice F: Protezione dei gruppi Domain Admins in Active Directory

Come avviene con il gruppo Enterprise Admins (EA), l'appartenenza ai gruppi Domain Admins (DA) è necessaria solo in scenari di compilazione o di ripristino di emergenza. Non dovrebbe esserci alcun account di utenti del gruppo DA, fatta eccezione per l'account amministratore predefinito per il dominio, se è stato protetto come descritto in Appendice D: protezione account Administrator predefiniti in Active Directory.

Domain Admins sono, per impostazione predefinita, i membri del gruppo Administrators locale su tutti i server membri e le workstation nei rispettivi domini. La nidificazione predefinita non deve essere modificata per scopi di supportabilità e di ripristino di emergenza. Se i Domain Admins sono stati rimossi dai gruppi di amministratori locali nei server membri, il gruppo deve essere aggiunto al gruppo Administrators in ogni server membro e workstation nel dominio. Il gruppo Domain Admins di ogni dominio deve essere protetto come descritto nelle istruzioni dettagliate che seguono.

Per il gruppo Domain Admins in ogni dominio nella foresta:

  1. Rimuovere tutti i membri dal gruppo, con la possibile eccezione dell'account amministratore predefinito per il dominio, purché sia stata impostata come descritto in Appendice D: protezione account Administrator predefiniti in Active Directory.

  2. Negli oggetti Criteri di gruppo collegati alle unità organizzative contenenti server membri e workstation in ogni dominio, il gruppo DA deve essere aggiunto ai diritti utente seguenti in Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazioni diritti utente:

    • Nega accesso al computer dalla rete

    • Negare l'accesso come processo batch

    • Negare l'accesso come servizio

    • Nega accesso locale

    • Nega accesso tramite i diritti utente di Servizi Desktop remoto

  3. Il controllo deve essere configurato per l'invio di avvisi se vengono apportate modifiche per le proprietà o l'appartenenza al gruppo Domain Admins.

Istruzioni dettagliate per la rimozione di tutti i membri dal gruppo Domain Admins

  1. In Server Manager, fare clic su Strumenti, quindi su Utenti e computer di Active Directory.

  2. Per rimuovere tutti i membri dal gruppo DA, seguire questa procedura:

    1. Fare doppio clic sul gruppo Domain Admins, quindi fare clic sulla scheda Membri.

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. Selezionare un membro del gruppo, fare clic su Rimuovi, quindi fare clic su e poi suOK.

  3. Ripetere il passaggio 2 fino a quando non vengono rimossi tutti i membri del gruppo DA.

Istruzioni dettagliate per proteggere i Domain Admin in Active Directory

  1. In Server Manager, fare clic su Strumenti, quindi su Gestione Criteri di gruppo.

  2. Nell'albero della console, espandere <Foresta>\Domini\<Dominio>, quindi Oggetti Criteri di gruppo (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si desidera impostare i Criteri di gruppo).

  3. Nell'albero della console, fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppo, quindi fare clic su Nuovo.

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digitare <Nome oggetto Criteri di gruppo>e fare clic su OK (dove <Nome oggetto Criteri di gruppo> è il nome dell'oggetto Criteri di gruppo).

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su <Nome oggetto Criteri di gruppo> e fare clic su Modifica.

  6. Passare a Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali, quindi fare clic su Assegnazione diritti utente.

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. Configurare i diritti utente per impedire ai membri del gruppo Domain Admins di accedere ai server e alle workstation dei membri sulla rete eseguendo le seguenti operazioni:

    1. Fare doppio clic su Nega accesso a questo computer dalla rete e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Domain Admins, fare clic su Controlla nomi, quindi su OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. Fare di nuovo clic su OK e su OK.

  8. Configurare i diritti utente per impedire ai membri del gruppo DA di accedere come processo batch effettuando le seguenti operazioni:

    1. Fare doppio clic su Nega accesso come processo batch e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Domain Admins, fare clic su Controlla nomi, quindi su OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. Fare di nuovo clic su OK e su OK.

  9. Configurare i diritti utente per impedire ai membri del gruppo DA di accedere come servizi effettuando le seguenti operazioni:

    1. Fare doppio clic su Nega accesso come servizio e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Domain Admins, fare clic su Controlla nomi, quindi su OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. Fare di nuovo clic su OK e su OK.

  10. Configurare i diritti utente per impedire ai membri del gruppo Domain Admins di accedere in locale ai server e alle workstation dei membri eseguendo le seguenti operazioni:

    1. Fare doppio clic su Nega accesso locale e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Domain Admins, fare clic su Controlla nomi, quindi su OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. Fare di nuovo clic su OK e su OK.

  11. Configurare i diritti utente per impedire ai membri del gruppo Domain Admins di accedere ai server e alle workstation membri tramite Servizi Desktop remoto effettuando le seguenti operazioni:

    1. Fare doppio clic su Nega accesso tramite Servizi Desktop remoto e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Domain Admins, fare clic su Controlla nomi, quindi su OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. Fare di nuovo clic su OK e su OK.

  12. Per uscire dall'Editor gestione Criteri di gruppo, fare clic su File, quindi su Esci.

  13. In Gestione criteri di gruppo, collegare l'oggetto Criteri di gruppo alle unità organizzative del server membro e della workstation eseguendo le operazioni seguenti:

    1. Passare a <Foresta>\Domini\<Dominio> (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si vuole impostare i Criteri di gruppo).

    2. Fare clic con il pulsante destro del mouse sull'unità organizzativa a cui verrà applicato l'oggetto Criteri di gruppo e quindi su Collega un oggetto Criteri di gruppo esistente.

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. Selezionare l'oggetto Criteri di gruppo appena creato e fare clic su OK.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. Creare collegamenti a tutte le altre unità organizzative che includono postazioni di lavoro.

    5. Creare collegamenti a tutte le altre unità organizzative che contengono server membri.

      Importante

      Se i server di collegamento vengono utilizzati per amministrare i controller di dominio e Active Directory, verificare che i jump server si trovino in un'unità organizzativa a cui non sono collegati oggetti Criteri di gruppo restrittivi.

Passaggi di verifica

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso al computer dalla rete"

Da qualsiasi server membro o workstation non interessati dalle modifiche dell'oggetto Criteri di gruppo (ad esempio un "jump server"), provare ad accedere a un server membro o workstation sulla rete interessata dalle modifiche dell'oggetto Criteri di gruppo. Per verificare le impostazioni dell'oggetto Criteri di gruppo, provare a eseguire il mapping dell'unità di sistema utilizzando il comando NET USE.

  1. Accedere in locale usando un account che sia membro del gruppo Domain Admins.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare il prompt dei comandi, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi su Esegui come amministratore per aprire un prompt dei comandi con privilegi elevati.

  4. Quando viene richiesto di approvare l'elevazione dei privilegi, fare clic su .

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. Nella finestra Prompt dei comandi, digitare net use \\<Nome server>\c$, dove <Nome server> è il nome del server membro o della workstation a cui si sta tentando di accedere tramite la rete.

  6. Il seguente screenshot mostra il messaggio di errore che deve essere visualizzato.

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso come processo batch"

Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

Creare un file batch

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare Blocco note e fare clic su Blocco note.

  3. Nel Blocco note, digitare dir c:.

  4. Fare clic su File, quindi su Salva con nome.

  5. Nel campo Nome file digitare <Filename>.bat (dove <Filename> è il nome del nuovo file batch).

Pianificare un'attività

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare Utilità di pianificazione, quindi fare clic su Utilità di pianificazione.

    Nota

    Nei computer che eseguono Windows 8, nella casella Cerca, digitare pianifica attività e fare clic su Pianifica attività.

  3. Nella barra del menu Utilità di pianificazione, fare clic su Azione, quindi su Crea attività.

  4. Nella finestra di dialogo Crea attività, digitare <Nome attività> (in cui <Nome attività> è il nome della nuova attività).

  5. Fare clic sulla scheda Azioni, quindi su Nuova.

  6. Nel campo Azione, selezionare Avvia un programma.

  7. In Programma/script, fare clic su Sfoglia, individuare e selezionare il file batch creato nella sezione Crea un file batch e fare clic su Apri.

  8. Fare clic su OK.

  9. Fare clic sulla scheda Generale.

  10. Nelle opzioni di Sicurezza, fare clic su Cambia utente o gruppo.

  11. Digitare il nome di un account membro del gruppo Domain Admins, fare clic su Controlla nomi, quindi fare clic su OK.

  12. Selezionare Esegui se l'utente è connesso o meno e selezionare Non archiviare la password. L'attività avrà accesso solo alle risorse del computer locale.

  13. Fare clic su OK.

  14. Viene visualizzata una finestra di dialogo che richiede le credenziali dell'account utente per l'esecuzione dell'attività.

  15. Dopo aver inserito le credenziali, fare clic su OK.

  16. Verrà visualizzata una finestra di dialogo simile alla seguente.

    Screenshot that shows the error that should occur after you enter the credentials.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso come servizio"

  1. Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare servizi e fare clic su Servizi.

  4. Individuare e fare doppio clic su Spooler di stampa.

  5. Fare clic sulla scheda Accedi.

  6. In Accedi come selezionare l'opzione Questo account.

  7. Fare clic su Sfoglia, digitare il nome di un account membro del gruppo Domain Admins, fare clic su Controlla nomi, quindi fare clic su OK.

  8. In Password e Conferma password, digitare la password dell'account selezionato e fare clic su OK.

  9. Fare clic su OK altre tre volte.

  10. Fare clic con il pulsante destro del mouse su Spooler di stampa, quindi su Riavvia.

  11. Quando il servizio viene riavviato, verrà visualizzata una finestra di dialogo simile alla seguente.

    Screenshot that shows the dialog box that appears after the service is restarted.

Ripristinare le modifiche al servizio di spooler della stampante

  1. Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare servizi e fare clic su Servizi.

  4. Individuare e fare doppio clic su Spooler di stampa.

  5. Fare clic sulla scheda Accedi.

  6. In Accedi come, selezionare l'account Sistema locale e fare clic su OK.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso in locale"

  1. Da qualsiasi server membro o workstation interessati dalle modifiche dell'oggetto Criteri di gruppo, tentare di accedere in locale usando un account che sia membro del gruppo Domain Admins. Verrà visualizzata una finestra di dialogo simile alla seguente.

    secure domain admin groups

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso tramite Servizi Desktop remoto"

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare connessione desktop remoto e fare clic su Connessione desktop remoto.

  3. Nel campo Computer, digitare il nome del computer a cui connettersi e fare clic su Connetti. È anche possibile digitare l'indirizzo IP al posto del nome del computer.

  4. Quando viene richiesto, specificare le credenziali di un account che sia membro del gruppo Domain Admins.

  5. Verrà visualizzata una finestra di dialogo simile alla seguente.

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.