Приложение Д. Защита групп корпоративных администраторов в Active Directory

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Приложение Д. Защита групп корпоративных администраторов в Active Directory

Группа корпоративных Администратор (EA), размещенная в корневом домене леса, не должна содержать пользователей на ежедневной основе, за исключением учетной записи Администратор istrator корневого домена, если она защищена, как описано в приложении D. Защита встроенных учетных записей Администратор istrator в Active Directory.

Корпоративные Администратор по умолчанию являются членами группы Администратор istrators в каждом домене в лесу. Не следует удалять группу EA из групп Администратор istrators в каждом домене, так как в случае сценария аварийного восстановления леса права EA, скорее всего, потребуются. Группа корпоративных Администратор леса должна быть защищена, как описано в пошаговые инструкции, описанные ниже.

Для группы корпоративных Администратор в лесу:

  1. В объектах групповой политики, связанных с подразделениями, содержащими серверы-члены и рабочие станции в каждом домене, группу корпоративных Администратор следует добавить в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначения прав пользователя:

    • Отказ в доступе к компьютеру из сети

    • Отказ во входе в качестве пакетного задания

    • Отказать во входе в качестве службы

    • Запретить локальный вход

    • Запретить вход в систему через службу удаленных рабочих столов

  2. Настройте аудит для отправки оповещений, если какие-либо изменения вносятся в свойства или членство в группе корпоративных Администратор.

Пошаговые инструкции по удалению всех участников из группы корпоративных Администратор

  1. В диспетчер сервера щелкните "Сервис" и щелкните Пользователи и компьютеры Active Directory.

  2. Если вы не управляете корневым доменом для леса, в дереве консоли щелкните правой кнопкой мыши <домен> и выберите пункт "Изменить домен " (где <домен> — имя домена, который вы сейчас администрируете).

    Screenshot that highlights the Change Domain menu option.

  3. В диалоговом окне "Изменение домена" нажмите кнопку "Обзор", выберите корневой домен для леса и нажмите кнопку "ОК".

    Screenshot that shows the OK button in the Change domain dialog box.

  4. Чтобы удалить всех участников из группы EA, выполните следующие действия.

    1. Дважды щелкните группу "Корпоративные Администратор" и перейдите на вкладку "Участники".

      Screenshot that shows the Members tab within the Enterprise Admins group.

    2. Выберите члена группы, нажмите кнопку "Удалить", нажмите кнопку "Да" и нажмите кнопку "ОК".

  5. Повторите шаг 2, пока все члены группы EA не будут удалены.

Пошаговые инструкции по защите корпоративных Администратор в Active Directory

  1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление групповыми политиками".

  2. В дереве консоли разверните <лес>\Domain\Domain\<Domain>, а затем объекты групповой политики (где <лес> является именем леса и <доменом> — это имя домена, в котором нужно задать групповую политику).

    Примечание.

    В лесу с несколькими доменами необходимо создать аналогичный объект групповой политики в каждом домене, требующий защиты группы корпоративных Администратор.

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики и нажмите кнопку "Создать".

    Screenshot that shows the New menu option in the Group Policy Objects menu.

  4. В диалоговом окне "Создать объект групповой политики" введите <имя> групповой политики и нажмите кнопку "ОК" (где <имя> групповой политики — имя объекта групповой политики).

    Screenshot that shows where to type the GPO name and select the source starter GPO.

  5. В области сведений щелкните правой кнопкой мыши <имя> групповой политики и нажмите кнопку "Изменить".

  6. Перейдите к разделу "Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики" и щелкните "Назначение прав пользователя".

    Screenshot that shows where to select User Rights Assignment.

  7. Настройте права пользователя, чтобы запретить членам группы корпоративных Администратор доступ к серверам-членам и рабочим станциям по сети, выполнив следующие действия:

    1. Дважды щелкните "Запретить доступ к этому компьютеру" из сети и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите корпоративные Администратор, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations over the network.

    4. Нажмите кнопку "ОК" и "ОК".

  8. Настройте права пользователя, чтобы предотвратить вход в группу enterprise Администратор s в качестве пакетного задания, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход в качестве пакетного задания " и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

      Примечание.

      В лесу с несколькими доменами щелкните "Расположения " и выберите корневой домен леса.

    3. Введите корпоративные Администратор, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from logging on as a batch job.

    4. Нажмите кнопку "ОК" и "ОК".

  9. Настройте права пользователя, чтобы запретить вход членам группы EA в качестве службы, выполнив следующие действия:

    1. Дважды щелкните "Запретить журнал как услуга " и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа ", а затем нажмите кнопку "Обзор".

      Примечание.

      В лесу с несколькими доменами щелкните "Расположения " и выберите корневой домен леса.

    3. Введите корпоративные Администратор, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the EA group from logging on as a service.

    4. Нажмите кнопку "ОК" и "ОК".

  10. Настройте права пользователя, чтобы запретить пользователям группы корпоративных Администратор выполнять вход на локальные серверы-члены и рабочие станции, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход" локально и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа ", а затем нажмите кнопку "Обзор".

      Примечание.

      В лесу с несколькими доменами щелкните "Расположения " и выберите корневой домен леса.

    3. Введите корпоративные Администратор, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Screenshot that shows how to verify that you have configured user rights to prevent members of the Enterprise Admins group from logging on locally to member servers and workstations.

    4. Нажмите кнопку "ОК" и "ОК".

  11. Настройте права пользователя, чтобы запретить членам группы корпоративных Администратор доступ к серверам-членам и рабочим станциям через службы удаленных рабочих столов, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход" через службы удаленных рабочих столов и выберите "Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа ", а затем нажмите кнопку "Обзор".

      Примечание.

      В лесу с несколькими доменами щелкните "Расположения " и выберите корневой домен леса.

    3. Введите корпоративные Администратор, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations via Remote Desktop Services.

    4. Нажмите кнопку "ОК" и "ОК".

  12. Чтобы выйти из редактора управления групповыми политиками, нажмите кнопку "Файл" и нажмите кнопку " Выйти".

  13. В службе управления групповыми политиками свяжите объект групповой политики с сервером-членом и подразделениями рабочих станций, выполнив следующие действия.

    1. Перейдите к <лесу>\Domain\<Domain> (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется задать групповую политику).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применен объект групповой политики, и щелкните ссылку на существующий объект групповой политики.

      Screenshot that highlights the Link an existing GPO menu option.

    3. Выберите только что созданный объект групповой политики и нажмите кнопку "ОК".

      Screenshot that shows where to select the GPO that you just created.

    4. Создайте ссылки на все остальные подразделения, содержащие рабочие станции.

    5. Создайте ссылки на все остальные подразделения, содержащие серверы-члены.

    6. В лесу с несколькими доменами необходимо создать аналогичный объект групповой политики в каждом домене, требующий защиты группы корпоративных Администратор.

Внимание

Если серверы переходов используются для администрирования контроллеров домена и Active Directory, убедитесь, что серверы переходов находятся в подразделении, к которому эти объекты групповой политики не связаны.

Этапы проверки

Убедитесь, что Параметры групповой политики запретить доступ к этому компьютеру из сети

С любого сервера-члена или рабочей станции, не затронутых изменениями объекта групповой политики (например, с помощью сервера перехода), попытайтесь получить доступ к серверу-члену или рабочей станции через сеть, затронутую изменениями групповой политики. Чтобы проверить параметры групповой политики, попытайтесь сопоставить системный диск с помощью команды NET USE , выполнив следующие действия:

  1. Войдите локально с помощью учетной записи, являющейся членом группы EA.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите командную строку правой кнопкой мыши и нажмите кнопку "Запустить от имени администратора", чтобы открыть командную строку с повышенными привилегиями.

  4. Когда появится запрос на утверждение повышения прав, нажмите кнопку "Да".

    Screenshot that shows the dialog box where you approve the elevation.

  5. В окне командной строки введите net use \\<Server Name>\c$, где <имя> сервера — имя сервера-члена или рабочей станции, к которой вы пытаетесь получить доступ по сети.

  6. На следующем снимка экрана показано сообщение об ошибке, которое должно появиться.

    Screenshot that shows the error message that should appear.

Проверка "Запрет входа в качестве пакетного задания" Параметры групповой политики

На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

Создание пакетного файла

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите блокнот и щелкните Блокнот.

  3. В Блокнот введите dir c:.

  4. Нажмите кнопку " Файл" и нажмите кнопку "Сохранить как".

  5. В поле "Имя файла" введите <имя файла>.bat (где <имя> файла — имя нового пакетного файла).

Планирование задачи

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите планировщик задач и нажмите кнопку "Планировщик задач".

    Примечание.

    На компьютерах под управлением Windows 8 в поле поиска введите задачи расписания и щелкните "Расписание задач".

  3. Нажмите кнопку " Действие" и нажмите кнопку "Создать задачу".

  4. В диалоговом окне "Создание задачи" введите< имя> задачи (где <имя> задачи — имя новой задачи).

  5. Перейдите на вкладку "Действия " и нажмите кнопку "Создать".

  6. В поле "Действие" выберите "Запустить программу".

  7. В разделе "Программа или сценарий" нажмите кнопку "Обзор", найдите и выберите пакетный файл, созданный в разделе "Создать пакетный файл " и нажмите кнопку "Открыть".

  8. Щелкните OK.

  9. Перейдите на вкладку Общие.

  10. В поле "Параметры безопасности" нажмите кнопку "Изменить пользователя" или "Группа".

  11. Введите имя учетной записи, являющейся членом группы EAs, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

  12. Выберите "Запустить", вошедший в систему или нет , и выберите " Не хранить пароль". Задача будет иметь доступ только к ресурсам локального компьютера.

  13. Щелкните OK.

  14. Появится диалоговое окно, запрашивающее учетные данные учетной записи пользователя для выполнения задачи.

  15. После ввода учетных данных нажмите кнопку "ОК".

  16. Появится диалоговое окно, аналогичное приведенному ниже.

    Screenshot that shows the Task Scheduler dialog box.

Убедитесь, что Параметры групповой политики запретить вход в систему в качестве службы

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите службы и щелкните "Службы".

  4. Найдите и дважды щелкните "Печатать spooler".

  5. Перейдите на вкладку "Вход".

  6. В разделе "Вход как" выберите "Эта учетная запись".

  7. Нажмите кнопку "Обзор", введите имя учетной записи, являющейся членом группы EAs, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

  8. В разделе "Пароль" и "Подтверждение пароля" введите пароль выбранной учетной записи и нажмите кнопку "ОК".

  9. Нажмите кнопку "ОК " еще три раза.

  10. Щелкните правой кнопкой мыши службу "Печатать spooler" и выберите "Перезапустить".

  11. При перезапуске службы появится диалоговое окно, аналогичное приведенному ниже.

    Screenshot that shows a message that says that Windows could not start the Print Spooler server.

Восстановление изменений в службе spooler принтера

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите службы и щелкните "Службы".

  4. Найдите и дважды щелкните "Печатать spooler".

  5. Перейдите на вкладку "Вход".

  6. В разделе "Вход как" выберите учетную запись локальной системы и нажмите кнопку "ОК".

Проверка "Запрет входа локально" Параметры групповой политики

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, попытайтесь выполнить вход локально с помощью учетной записи, являющейся членом группы EA. Появится диалоговое окно, аналогичное приведенному ниже.

    Screenshot that shows a message that says that the sign-in method you're using isn't allowed.

Проверьте Параметры групповой политики "Запрет входа в систему через службы удаленных рабочих столов"

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите подключение к удаленному рабочему столу и щелкните "Удаленный рабочий стол" Подключение.

  3. В поле "Компьютер" введите имя компьютера, к которому требуется подключиться, а затем щелкните Подключение. (Можно также ввести IP-адрес вместо имени компьютера.)

  4. При появлении запроса укажите учетные данные для учетной записи, являющейся членом группы EA.

  5. Появится диалоговое окно, аналогичное приведенному ниже.

    secure enterprise admin groups