Kongsi melalui

Semak dan kurangkan bilangan akaun dalam kumpulan pentadbiran yang mempunyai keistimewaan tinggi - Pusat Microsoft Engage (Hab Perkhidmatan)

Mengapa Pertimbangkan ini

Keahlian kumpulan pentadbiran peringkat tinggi seperti Pentadbir Perusahaan, Pentadbir Skema, Pentadbir Domain, Pengendali Akaun dan lain-lain mempunyai hak yang luas di peringkat komputer, domain atau hutan. Ini adalah risiko keselamatan dan operasi.

Tonton Jurutera Pelanggan menerangkan isu tersebut

Konteks & Amalan Terbaik

Active Directory termasuk beberapa kumpulan pentadbiran peringkat tinggi, termasuk Pentadbir Perusahaan, Pentadbir Skema, Pentadbir Domain dan Pentadbir DHCP dan sebagainya.

Ahli beberapa kumpulan istimewa ini boleh membuat perubahan seluruh hutan dalam Active Directory, mengawal akses kepada semua pengawal domain, Sistem Nama Domain (DNS) dan pelayan lain dalam domain dan boleh mengubah suai skema, yang mengawal struktur dan kandungan keseluruhan direktori. Pentadbir boleh memberikan diri mereka jumlah pemilikan objek dan mengubah suai kebenaran akses bergantung pada kumpulan yang ditinggikan di mana mereka menjadi ahlinya.

Akaun dalam kumpulan ini harus menjadi antara yang paling dijaga dalam sesebuah organisasi. Langkah berjaga-jaga keselamatan tambahan harus diambil untuk memastikan bahawa ia tidak disalahgunakan atau terjejas. Pemantauan dan pengauditan keahlian dalam kumpulan tersebut perlu dilakukan. Jika boleh, penggunaan kumpulan tersuai dengan keistimewaan yang diwakilkan boleh menyediakan penyelesaian yang lebih selamat.

Microsoft mengesyorkan mengehadkan keahlian dalam kumpulan ini sama ada kosong (keahlian sementara sahaja) atau segelintir pentadbir yang bertanggungjawab untuk kesihatan keseluruhan Perkhidmatan Direktori Aktif. Pentadbir lain harus menerima keizinan khusus untuk mengubah suai hanya subset perkhidmatan direktori atau data dalam setiap domain dengan melaksanakan model delegasi pentadbiran.

Tindakan yang Dicadangkan

Semak keahlian kumpulan berikut:

  • Pentadbir Perusahaan
  • Pentadbir Skema
  • Pentadbir Domain
  • Pengendali Akaun (jika ada)
  • Pengendali Pelayan (jika ada)
  • Pengendali Cetakan (jika ada)
  • Pentadbir DHCP
  • DNSAdmins

Pastikan semua ahli kumpulan mempunyai alasan yang tulen untuk mempunyai akaun dalam kumpulan tersebut.

Pertimbangkan untuk mencipta kumpulan tersuai dengan keizinan yang diwakilkan secara khusus dan mencipta akaun pentadbir dalam kumpulan tersebut. Sebagai alternatif, laksanakan keahlian sementara sahaja, di mana akaun perlu dinaikkan secara eksplisit untuk menyertai kumpulan tertentu dan kemudian diturunkan semula.

Ketahui Lebih Lanjut

Melindungi Kumpulan dan Akaun Pentadbiran Active Directory

Mewujudkan Amalan Pentadbiran Perkhidmatan Selamat

Melaksanakan Model Pentadbiran Keistimewaan Paling Rendah

Muat turun Amalan Terbaik untuk Mendapatkan Direktori Aktif