![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(0, 89%, 10%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Windows Server
支持企业级管理、数据存储、应用程序和通信的 Microsoft 服务器操作系统系列。
220 个问题
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(278.4, 92%, 36%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EYL%3C/text%3E%3C/svg%3E)
您好,
为了确保所有 DC对象和文件的 ACL只包含合法的管理员,请遵循以下步骤进行操作:
- 手动检查权限:
- 打开“Active Directory 用户和计算机”(ADUC)。
- 右键点击需要检查的 DC 对象,选择“属性”。
- 转到“安全”选项卡,检查并确保仅有合法的管理员组(如 Domain Admins、Enterprise Admins)具备适当权限。
- 移除任何不必要的权限。
- 限制 GPO 的权限:
- 右键点击 GPO,选择“属性”。
- 转到“安全”选项卡,确保只有合法的管理员组有“编辑”或“全部控制”权限。
- 为 Domain Admins、Enterprise Admins 分配适当的权限,移除其他组或用户可能具备的过多权限。
- 清理并限制管理员组:
- 确保域管理员组(Domain Admins)、企业管理员组(Enterprise Admins)、和本地管理员组(Administrators)中只包含经过授权的管理员。定期检查这些组的成员,移除不再需要的成员。
- 启用和配置“保护对象不被误删”选项:
- 对重要的 AD 对象,如组织单位(OUs)和关键服务器对象,启用“保护对象不被误删”选项。这样可以防止这些对象被意外删除。
- 启用审核策略:
- 在 GPO 中,导航到“计算机配置” > “Windows 设置” > “安全设置” > “本地策略” > “审核策略”。
- 启用“审核对象访问”和“审核目录服务访问”。这样可以记录对 AD 对象的访问情况。
如果答案有帮助,请点击”接受答案“并点赞。