Active Directory 帐户

Windows Server 操作系统是使用默认本地帐户安装的。 此外,还可以创建用户帐户以满足组织的要求。

此参考文章介绍本地存储在域控制器上并在 Active Directory 中使用的 Windows Server 默认本地帐户。 它不介绍成员、独立服务器或 Windows 客户端的默认本地用户帐户。 有关详细信息,请参阅本地帐户

Active Directory 中的默认本地帐户

默认本地帐户是在安装 Windows Server 域控制器并创建域时自动创建的内置帐户。 这些默认本地帐户在 Active Directory 中具有对应帐户。 它们还具有域范围的访问权限,并且与成员或独立服务器的默认本地用户帐户完全分开。

可以向特定域控制器上的默认本地帐户分配权限,并且只能在该域控制器上分配权限。 这些帐户是域的本地帐户。 安装默认本地帐户后,它们将存储在 Active Directory 用户和计算机的用户容器中。 最佳做法是将默认本地帐户保留在用户容器中,而不是尝试将这些帐户移动到其他容器,例如组织单位 (OU)。

用户容器中的默认本地帐户包括:管理员、来宾和 KRBTGT。 建立远程协助会话时,将安装 HelpAssistant 帐户。 以下部分介绍默认本地帐户及其在 Active Directory 中的用法。

默认本地帐户执行以下操作:

  • 让域使用唯一凭据(用户名和密码)来表示、识别和验证分配给帐户的用户的标识。 最佳做法是将每个用户分配给单个帐户,以确保最大安全性。 不允许多个用户共享一个帐户。 用户帐户允许用户使用可由计算机、网络或域进行身份验证的唯一标识符登录到计算机、网络和域。

  • 授权(授予或拒绝)对资源的访问权限。 对用户的凭据进行身份验证后,根据用户对资源的显式分配权限,授权用户访问网络和域资源。

  • 审核对用户帐户执行的操作。

在 Active Directory 中,管理员使用默认本地帐户直接从专用管理工作站管理域和成员服务器。 Active Directory 帐户提供对网络资源的访问权限。 Active Directory 用户帐户和计算机帐户可以表示物理实体(例如计算机或人员),或者充当某些应用程序的专用服务帐户。

每个默认本地帐户都会自动分配到一个安全组,该安全组预配置了执行特定任务的相应权限。 Active Directory 安全组将用户帐户、计算机帐户和其他组收集到可管理的单元中。 有关详细信息,请参阅 Active Directory 安全组

在 Active Directory 域控制器上,每个默认本地帐户称为安全主体。 安全主体是一个目录对象,用于保护和管理提供域控制器资源访问权限的 Active Directory 服务。 安全主体包括对象,例如用户帐户、计算机帐户、安全组或在用户或计算机帐户的安全上下文中运行的线程或进程。 有关详细信息,请参阅安全主体

安全主体由唯一安全标识符 (SID) 表示。 后续部分将介绍与 Active Directory 中每个默认本地帐户相关的 SID。

某些默认本地帐户受定期检查和应用特定安全描述符的后台进程保护。 安全描述符是包含与受保护对象相关的安全信息的数据结构。 对于某个默认本地帐户或组上的任何成功的未授权的修改安全描述符尝试,此过程可确保它们都将被受保护的设置覆盖。

此安全描述符存在于 AdminSDHolder 对象上。 如果要修改其中一个服务管理员组或其任何成员帐户的权限,则必须修改 AdminSDHolder 对象上的安全描述符,以确保应用一致。 进行这些修改时要小心,因为你还会更改应用于所有受保护帐户的默认设置。

管理员帐户

管理员帐户是默认帐户,用于每台计算机和设备上的 Windows 操作系统的所有版本。 系统管理员使用管理员帐户执行需要管理凭据的任务。 无法删除或锁定此帐户,但可以重命名或禁用该帐户。

管理员帐户为用户提供位于该本地服务器上的文件、目录、服务和其他资源的完全访问权限(完全控制权限)。 管理员帐户可用于创建本地用户,以及分配用户权限和访问控制权限。 该帐户还可用于随时控制本地资源,只需更改用户权限即可。 尽管文件和目录可以暂时受到管理员帐户的保护,但该帐户可以随时通过更改访问权限来控制这些资源。

帐户组成员身份

管理员帐户在默认安全组中具有成员身份,如本文后面的管理员帐户属性表中所述。

安全组可确保无需更改每个管理员帐户即可控制管理员权限。 在大多数情况下,无需更改此帐户的基本设置。 但是,可能需要更改其高级设置,例如特定组中的成员身份。

安全注意事项

安装服务器操作系统后,第一项任务是安全地设置管理员帐户属性。 这包括设置特别长的强密码,以及保护远程控制和远程桌面服务配置文件设置。

管理员帐户也可在不需要时禁用。 重命名或禁用管理员帐户会使恶意用户更难尝试获取该帐户的访问权限。 但是,即使已禁用了管理员帐户,仍然可以通过安全模式使用该帐户访问域控制器。

在域控制器上,管理员帐户将成为域管理员帐户。 域管理员帐户用于登录到域控制器,此帐户需要强密码。 使用域管理员帐户可以访问域资源。

注意

最初安装域控制器时,可以登录并使用服务器管理器设置本地管理员帐户,并具有要分配的权限。 例如,可以在首次安装操作系统时使用本地管理员帐户来管理操作系统。 使用此方法,可以设置操作系统,而不会被锁定。通常,安装后无需使用该帐户。 只能在安装 Active Directory 域服务之前(而非之后)在域控制器上创建本地用户帐户。

在域中的第一个域控制器上安装 Active Directory 时,会为 Active Directory 创建管理员帐户。 管理员帐户是域中功能最强大的帐户。 它被授予域范围的访问权限和管理权限来管理计算机和域,并且对域拥有最广泛的权限。 在计算机上安装 Active Directory 域服务的人员会在安装过程中为此帐户创建密码。

管理员帐户属性

属性
已知 SID/RID S-1-5-<domain>-500
类型 User
默认容器 CN=Users,DC=<domain>,DC=
默认成员 空值
默认成员 管理员、域管理员、企业管理员、域用户(所有用户帐户的主组 ID 为域用户)

Active Directory 域用户组中的组策略创建者所有者和架构管理员
通过 ADMINSDHOLDER 受保护吗?
移出默认容器是否安全?
将此组的管理委派给非服务管理员是否安全?

Guest 帐户

来宾帐户是默认本地帐户,对计算机的访问权限有限,默认情况下处于禁用状态。 默认情况下,来宾帐户密码留空。 空密码允许访问来宾帐户,而无需用户输入密码。

来宾帐户使计算机上没有个人帐户的偶尔或一次性用户能够以受限的权限登录到本地服务器或域。 可以启用来宾帐户,并可以根据需要设置密码,但只能由域上的管理员组的成员设置。

来宾帐户组成员身份

来宾帐户在以下来宾帐户属性表中所述的默认安全组中具有成员身份。 默认情况下,来宾帐户是默认来宾组(允许用户登录服务器)和域来宾全局组(允许用户登录域)的唯一成员。

管理员组或域管理员组的成员可以在一台或多台计算机上设置具有来宾帐户的用户。

来宾帐户安全注意事项

由于来宾帐户可以提供匿名访问,因此存在安全风险。 它还具有众所周知的 SID。 出于此原因,最佳做法是禁用来宾帐户,除非需要使用来宾帐户,然后仅在非常有限的时间段内具有受限的权限。

如果需要来宾帐户,则需要域控制器上的管理员才能启用来宾帐户。 来宾帐户无需密码即可启用,也可以使用强密码启用。 管理员还授予来宾帐户的受限权限。 若要帮助防止未经授权的访问,请:

  • 不要向来宾帐户授予关闭系统用户权限。 当计算机关闭或启动时,来宾用户或具有本地访问权限的任何人(例如恶意用户)都可能获得对计算机的未经授权的访问权限。

  • 不要为来宾帐户提供查看事件日志的功能。 启用来宾帐户后,最佳做法是经常监视此帐户,以确保其他用户无法使用服务和其他资源,例如以前用户无意中留下的可用资源。

  • 当服务器具有外部网络访问权限或访问其他计算机时,请不要使用来宾帐户。

如果决定启用来宾帐户,请确保限制其使用并定期更改密码。 与管理员帐户一样,你可能希望重命名帐户作为额外的安全预防措施。

此外,管理员还负责管理来宾帐户。 管理员监视来宾帐户,在来宾帐户不再使用时将其禁用,并根据需要更改或删除密码。

有关来宾帐户属性的详细信息,请参阅下表:

来宾帐户属性

属性
已知 SID/RID S-1-5-<domain>-501
类型 User
默认容器 CN=Users,DC=<domain>,DC=
默认成员
默认成员 来宾、域来宾
通过 ADMINSDHOLDER 受保护吗?
移出默认容器是否安全? 可以移出,但我们不建议这样做。
将此组的管理委派给非服务管理员是否安全?

HelpAssistant 帐户(与远程协助会话一起安装)

HelpAssistant 帐户是运行远程协助会话时启用的默认本地帐户。 如果没有挂起的远程协助请求,则会自动禁用此帐户。

HelpAssistant 是用于建立远程协助会话的主帐户。 远程协助会话用于连接到运行 Windows 操作系统的另一台计算机,它通过邀请启动。 对于请求的远程协助,用户通过电子邮件或文件从其计算机向可以提供帮助的人员发送邀请。 接受用户的远程协助会话邀请后,将自动创建默认 HelpAssistant 帐户,以便向提供协助的人员授予对计算机的有限访问权限。 通过“远程桌面帮助会话管理器”服务对 HelpAssistant 帐户进行管理。

HelpAssistant 安全注意事项

与默认 HelpAssistant 帐户相关的 SID 包括:

  • SID:S-1-5-<domain>-13,显示名称终端服务器用户。 此组包括登录到已启用远程桌面服务的服务器的所有用户。 在 Windows Server 2008 中,远程桌面服务称为终端服务。

  • SID:S-1-5-<domain>-14,显示名称远程交互式登录。 此组包括使用远程桌面连接连接到计算机的所有用户。 此组是交互式组的子集。 包含远程交互式登录 SID 的访问令牌也包含交互式 SID。

对于 Windows Server 操作系统,远程协助是默认情况下未安装的可选组件。 必须先安装远程协助,然后才能使用它。

有关 HelpAssistant 帐户属性的详细信息,请参阅下表:

HelpAssistant 帐户属性

属性
已知 SID/RID S-1-5-<domain>-13(终端服务器用户)、S-1-5-<domain>-14(远程交互式登录)
类型 User
默认容器 CN=Users,DC=<domain>,DC=
默认成员
默认成员 域来宾
来宾
通过 ADMINSDHOLDER 受保护吗?
移出默认容器是否安全? 可以移出,但我们不建议这样做。
将此组的管理委派给非服务管理员是否安全?

KRBTGT 帐户

KRBTGT 帐户是本地默认帐户,充当密钥发行中心 (KDC) 服务的服务帐户。 无法删除此帐户,并且无法更改帐户名称。 无法在 Active Directory 中启用 KRBTGT 帐户。

KRBTGT 也是 KDC 用于 Windows Server 域的安全主体名称,由 RFC 4120 指定。 KRBTGT 帐户是 KRBTGT 安全主体的实体,并在创建新域时自动创建。

Windows Server Kerberos 身份验证是通过使用对称密钥加密的特殊 Kerberos 票证授予票证 (TGT) 实现的。 此密钥派生自请求其访问权限的服务器或服务的密码。 KRBTGT 帐户的 TGT 密码只有 Kerberos 服务知道。 若要请求会话票证,必须将 TGT 提供给 KDC。 TGT 从 KDC 颁发给 Kerberos 客户端。

KRBTGT 帐户维护注意事项

强密码会自动分配给 KRBTGT 和信任帐户。 与任何特权服务帐户一样,组织应定期更改这些密码。 KDC 帐户的密码用于派生出加密和解密所发出 TGT 请求的密钥。 域信任帐户的密码用于派生加密引荐票证的领域间密钥。

重置密码需要你是域管理员组的成员,或者被授予了相应权限。 此外,你必须是本地管理员组的成员,或被授予了相应的权限。

重置 KRBTGT 密码后,请确保将 (Kerberos) 密钥发行中心事件源中的事件 ID 9 写入系统事件日志。

KRBTGT 帐户安全注意事项

最佳做法是重置 KRBTGT 帐户密码,以确保新还原的域控制器不会使用已泄露的域控制器进行复制。 在这种情况下,在分布在多个位置的大型林恢复中,无法保证所有域控制器都已关闭,如果域控制器已关闭,则无法再次重新启动它们,然后再执行所有适当的恢复步骤。 重置 KRBTGT 帐户后,另一个域控制器无法使用旧密码复制此帐户密码。

怀疑 KRBTGT 帐户的域被入侵的组织应考虑使用专业事件响应服务。 恢复帐户所有权的影响是域范围的,需要大量人力,并且应作为更大的恢复工作的一部分进行。

KRBTGT 密码是 Kerberos 中所有信任链接至的密钥。 重置 KRBTGT 密码类似于使用新密钥续订根 CA 证书,并且立即不信任旧密钥,从而导致几乎所有后续 Kerberos 操作都将受到影响。

对于所有帐户类型(用户、计算机和服务)

  • 所有已颁发和分发的 TGT 都将无效,因为 DC 将拒绝它们。 这些票证使用 KRBTGT 加密,因此任何 DC 都可以对其进行验证。 密码更改时,票证将变为无效。

  • 登录用户已建立(基于其服务票证)到资源(如文件共享、SharePoint 站点或 Exchange 服务器)的所有当前已验证会话都是有效的,直到需要重新验证服务票证。

  • NTLM 身份验证的连接不受影响。

由于无法预测生产操作环境中任何给定用户将发生的特定错误,因此必须假定所有计算机和用户都将受到影响。

重要

重新启动计算机是恢复功能的唯一可靠方法,因为这样做会导致计算机帐户和用户帐户再次登录。 再次登录将请求对新 KRBTGT 有效的新 TGT,这将更正该计算机上与 KRBTGT 相关的任何操作问题。

只读域控制器和 KRBTGT 帐户

Windows Server 2008 引入了只读域控制器 (RODC)。 ODC 作为分支机构的密钥发行中心 (KDC) 播发。 当 RODC 对票证授予票证 (TGT) 请求进行签名或加密时,它使用与可写域控制器上的 KDC 的帐户和密码不同的 KRBTGT 帐户和密码。 成功对帐户进行身份验证后,RODC 将确定是否可以使用密码复制策略将用户的凭据或计算机的凭据从可写域控制器复制到 RODC。

在 RODC 上缓存凭据后,RODC 可以接受该用户的登录请求,直到凭据更改。 当使用 RODC 的 KRBTGT 帐户对 TGT 签名时,RODC 将识别出它具有凭据的缓存副本。 如果其他域控制器对 TGT 签名,则 RODC 将请求转发到可写域控制器。

KRBTGT 帐户属性

有关 KRBTGT 帐户属性的详细信息,请参阅下表:

属性
已知 SID/RID S-1-5-<domain>-502
类型 User
默认容器 CN=Users,DC=<domain>,DC=
默认成员
默认成员 域用户组(所有用户帐户的主组 ID 为域用户)
通过 ADMINSDHOLDER 受保护吗?
移出默认容器是否安全? 可以移出,但我们不建议这样做。
将此组的管理委派给非服务管理员是否安全?

Active Directory 中默认本地帐户的设置

Active Directory 中的每个默认本地帐户都有多个帐户设置,可用于配置密码设置和安全特定信息,如下表所述:

帐户设置 描述
用户下次登录时须更改密码 在用户下次登录到网络时强制进行密码更改。 如果要确保该用户是知道密码的唯一人,请使用此选项。
用户不能更改密码 防止用户更改密码。 如果要对用户帐户(如来宾或临时帐户)保持控制,请使用此选项。
密码永不过期 防止用户的密码过期。 最佳做法是使用服务帐户启用此选项并使用强密码。
用可还原的加密来存储密码 为使用协议的应用程序提供支持,这些协议要求了解用户密码的明文形式以进行身份验证。

在 Internet 身份验证服务 (IAS) 中使用质询握手身份验证协议 (CHAP) 时,以及在 Internet Information Services (IIS) 中使用摘要式身份验证时,此选项是必需的。

帐户已禁用 阻止用户使用所选帐户登录。 作为管理员,你可以使用已禁用的帐户作为公用用户帐户的模板。
交互式登录必须使用智能卡 要求用户具有智能卡才能以交互方式登录到网络。 用户还必须具有连接到计算机的智能卡读卡器以及智能卡的有效个人标识号 (PIN)。

在帐户上应用此属性时,效果如下:
  • 该属性仅限制交互式登录和远程桌面登录的初始身份验证。 当交互式或远程桌面登录需要后续网络登录(例如使用域凭据)时,域控制器提供的 NT 哈希将用于完成智能卡身份验证过程。
  • 每次在帐户上启用该属性时,该帐户的当前密码哈希值都将替换为 128 位随机数。 这会使以前为帐户配置的任何密码的使用无效。 除非设置了新密码或禁用并重新启用属性,否则该值不会更改。
  • 具有此属性的帐户不能用于启动服务或运行计划任务。
  • 帐户可以委派其他帐户 让在此帐户下运行的服务代表网络上的其他用户帐户执行操作。 在受信任进行委派的用户帐户(也称为服务帐户)下运行的服务可以模拟客户端访问正在运行该服务的计算机上或其他计算机上的资源。 例如,在设置为 Windows Server 2003 功能级别的林中,此设置位于“委派”选项卡上。它仅适用于已分配服务主体名称 (SPN) 的帐户,这些名称是使用 Windows 支持工具中的 setspn 命令设置的。 此设置对安全敏感,应谨慎分配。
    帐户敏感且无法委派 提供对用户帐户(如来宾帐户或临时帐户)的控制。 如果其他帐户无法分配此帐户进行委派,则可以使用此选项。
    此帐户需要使用 DES 加密类型 提供对数据加密标准 (DES) 的支持。 DES 支持多个加密级别,包括 Microsoft 点对点加密 (MPPE) 标准(40 位和 56 位)、MPPE 标准(56 位)、MPPE 强密码(128 位)、Internet 协议安全 (IPSec) DES(40 位)、IPSec 56 位 DES 和 IPSec 三重 DES (3DES)。
    不要求 Kerberos 预身份验证 提供对 Kerberos 协议备用实现的支持。 由于预身份验证提供了额外的安全性,因此启用此选项时请谨慎使用。 运行 Windows 2000 或 Windows Server 2003 的域控制器可以使用其他机制来同步时间。

    注意

    默认情况下,在 Windows Server 操作系统(从 Windows Server 2008 R2 开始)或 Windows 客户端操作系统(从 Windows 7 开始)中不会启用 DES。 对于这些操作系统,计算机默认不使用 DES-CBC-MD5 或 DES-CBC-CRC 密码套件。 如果环境需要 DES,此设置可能会影响与环境中的客户端计算机或服务以及应用程序的兼容性。

    有关详细信息,请参阅搜寻 DES 以安全部署 Kerberos

    管理 Active Directory 中的默认本地帐户

    安装默认本地帐户后,这些帐户驻留在 Active Directory 用户和计算机的用户容器中。 可以使用 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 以及命令行工具创建、禁用、重置和删除默认本地帐户。

    可以使用 Active Directory 用户和计算机为指定的本地域控制器且仅该域控制器分配权限,以限制本地用户和组执行某些操作的能力。 权利可授权用户在计算机上执行某些操作,如备份文件和文件夹或者关机。 相反,访问权限是与对象(通常是文件、文件夹或打印机)相关联的一种规则,它规定哪些用户可以访问该对象以及以何种方式访问。

    有关在 Active Directory 中创建和管理本地用户帐户的详细信息,请参阅管理本地用户

    还可以使用域控制器上的 Active Directory 用户和计算机来定位网络上不是域控制器的远程计算机。

    可以从 Microsoft 获取有关域控制器配置的建议,可以使用安全合规管理器 (SCM) 工具分发这些配置。 有关详细信息,请参阅 Microsoft 安全合规管理器

    某些默认本地用户帐户受后台进程保护,该后台进程定期检查并应用特定的安全描述符,这是一种包含与受保护对象关联的安全信息的数据结构。 此安全描述符存在于 AdminSDHolder 对象上。

    这意味着,如果要修改对服务管理员组或其任何成员帐户的权限,还需要修改 AdminSDHolder 对象上的安全描述符。 此方法可确保一致地应用权限。 进行这些修改时要小心,因为此操作还会影响应用于所有受保护管理帐户的默认设置。

    限制和保护敏感域帐户

    限制和保护域环境中的域帐户需要采用并实现以下最佳做法方法:

    • 严格限制管理员组、域管理员组和企业管理员组的成员身份。

    • 严格控制使用域帐户的位置和方式。

    域或林中管理员组、域管理员组和企业管理员组中的成员帐户是恶意用户的高价值目标。 为了限制任何公开,最佳做法是将这些管理员组的成员身份严格限制为最少数量的帐户。 限制这些组中的成员身份可降低管理员无意中滥用这些凭据并创建恶意用户可以利用的漏洞的可能性。

    此外,最佳做法是严格控制敏感域帐户的使用位置和方式。 限制使用域管理员帐户和其他管理员帐户,以防止它们用于登录到与托管系统的安全级别相同的管理系统和工作站。 如果管理员帐户不受此限制,则域管理员从中登录的每个工作站都会提供恶意用户可以利用的另一个位置。

    实现这些最佳做法分为以下任务:

    为了提供预期与域环境的集成挑战的情况,根据最低、更好和理想实现的要求来描述每个任务。 与生产环境的所有重大更改一样,请确保在实施和部署这些更改之前对其进行全面测试。 然后,以允许在发生技术问题时回滚更改的方式暂存部署。

    将管理员帐户与用户帐户分开

    限制域管理员帐户和其他敏感帐户,以防止它们用于登录到信任度较低的服务器和工作站。 通过将管理员帐户与标准用户帐户分开、将管理职责与其他任务分开以及限制使用这些帐户来限制和保护管理员帐户。 为需要管理员凭据才能执行特定管理任务的管理人员创建专用帐户,然后根据以下准则为其他标准用户任务创建单独的帐户:

    • 特权帐户:分配管理员帐户以仅执行以下管理职责:

      • 最低:为域管理员、企业管理员或域或林中的相应管理员权限创建单独的帐户。 仅使用已被授予敏感管理员权限的帐户来管理域数据和域控制器。

      • 更好:为具有降低管理权限的管理员创建单独的帐户,例如工作站管理员的帐户,以及对指定的 Active Directory 组织单位 (OU) 具有用户权限的帐户。

      • 理想:为具有多个需要不同信任级别的工作职责的管理员创建多个单独的帐户。 为每个管理员帐户设置不同的用户权限(例如工作站管理、服务器管理和域管理),让管理员严格按照其工作职责登录到指定的工作站、服务器和域控制器。

    • 标准用户帐户:针对标准用户任务授予的标准用户权限,例如电子邮件、Web 浏览和使用业务线 (LOB) 应用程序。 这些帐户不应被授予管理员权限。

    重要

    确保敏感管理员帐户无法访问电子邮件或浏览 Internet,如以下部分所述。

    若要详细了解特权访问,请参阅特权访问设备

    限制管理员对服务器和工作站的登录访问

    最佳做法是限制管理员使用敏感管理员帐户登录到信任度较低的服务器和工作站。 此限制可防止管理员通过登录到信任度较低的计算机来无意中增加凭据被盗的风险。

    重要

    确保你对域控制器具有本地访问权限,或者已构建至少一个专用管理工作站。

    使用以下准则限制对信任度较低的服务器和工作站的登录访问:

    • 最低:限制域管理员对服务器和工作站具有登录访问权限。 在开始此过程之前,请确定域中包含工作站和服务器的所有 OU。 OU 中未标识的任何计算机都不会限制具有敏感帐户的管理员登录它们。

    • 更好:限制域管理员登录到非域控制器服务器和工作站。

    • 理想:除了域管理员之外,还限制服务器管理员登录到工作站。

    注意

    对于此过程,请不要将帐户链接到包含仅执行管理职责的管理员工作站的 OU,也不要提供 Internet 或电子邮件访问权限。

    从工作站限制域管理员(最低)

    1. 以域管理员身份打开组策略管理控制台 (GPMC)。

    2. 打开“组策略管理”,展开“<林>\域\<domain>”。

    3. 右键单击“组策略对象”并选择“新建”

      “组策略管理控制台”窗口的屏幕截图,其中显示了“组策略对象”命令和快捷菜单。

    4. 在“新建 GPO”窗口中,命名限制管理员登录到工作站的 GPO,然后选择“确定”。

      用于输入组名称和源 Starter GPO 的“新建 GPO”窗口的屏幕截图。

    5. 右键单击“新建 GPO”,然后选择“编辑”。

    6. 配置用户权限以拒绝域管理员在本地登录。

    7. 选择“计算机配置”>“策略”>“Windows 设置”>“本地策略”,选择“用户权限分配”,然后执行以下操作:

      a. 双击“拒绝本地登录”,然后选择“定义这些策略设置”。 b. 选择“添加用户或组”,选择“浏览”,键入“企业管理员”,然后选择“确定”。 选择“添加用户或组”,选择“浏览”,键入“域管理员”,然后选择“确定”。

      “用户权限管理”窗口的屏幕截图,其中显示已选中“定义这些策略设置”复选框,并拒绝两个域帐户本地登录。

      提示

      可以选择添加任何组,其中包含你希望限制其登录到工作站的服务器管理员。

      注意

      完成此步骤可能会导致管理员任务出现问题,这些任务作为计划任务运行,或使用域管理员组中的帐户提供服务。 使用域管理员帐户在工作站上运行服务和任务的做法会产生严重的凭据被盗攻击风险,因此,应将其替换为运行计划任务或服务的替代方法。

      d. 选择“确定”以完成配置。

    8. 将 GPO 链接到第一个工作站 OU。 转到 <林>\域\<domain>\OU 路径,然后执行以下操作:

      a. 右键单击工作站 OU,然后选择“链接现有 GPO”。

      “组策略管理控制台”窗口的屏幕截图,可在其中右键单击工作站项并选择“链接现有 GPO”。

      b. 选择你刚刚创建的 GPO,然后选择“确定”。

      “选择 GPO”窗口的屏幕截图,可在其中选择域和组策略对象。

    9. 在第一个 OU 的工作站上测试企业应用程序的功能,并解决新策略导致的任何问题。

    10. 链接包含工作站的所有其他 OU。

      但是,如果管理工作站 OU 是为专用于管理职责且没有 Internet 或电子邮件访问的管理工作站创建的,请不要创建指向管理工作站 OU 的链接。

      重要

      如果以后扩展此解决方案,请不要拒绝域用户组的登录权限。 域用户组包括域中的所有用户帐户,包括用户、域管理员和企业管理员。

    禁用敏感管理员帐户的帐户委派权限

    尽管用户帐户默认未标记为委派,但可以信任 Active Directory 域中的帐户进行委派。 这意味着,受信任进行委派的服务或计算机可以模拟向其进行身份验证的帐户,以访问网络上的其他资源。

    对于敏感帐户(例如属于 Active Directory 中管理员组、域管理员组或企业管理员组的成员的帐户),委派可能会带来巨大的权限提升风险。 例如,如果域管理员组中的某个帐户用于登录到受信任进行委派的遭入侵成员服务器,该服务器可以请求访问域管理员帐户上下文中的资源,并将该成员服务器的入侵升级为域入侵。

    最佳做法是通过选择“帐户选项”下的“帐户敏感且无法委派”复选框,为 Active Directory 中的所有敏感帐户配置用户对象,以防止帐户被委派。 有关详细信息,请参阅 Active Directory 中默认本地帐户的设置

    与任何配置更改一样,请全面测试这项启用的设置,以确保在实现之前它正确执行。

    Active Directory 帐户属性窗口的屏幕截图。选中“帐户敏感且无法委派”复选框。

    保护和管理域控制器

    最佳做法是对环境中的域控制器严格实施限制。 这可确保域控制器:

    • 仅运行所需的软件。
    • 要求定期更新软件。
    • 配置了适当的安全设置。

    保护和管理域控制器的一个方面是确保默认本地用户帐户受到完全保护。 限制和保护所有敏感域帐户至关重要,如前几节所述。

    由于域控制器存储域中所有帐户的凭据密码哈希,因此它们是恶意用户的高价值目标。 如果域控制器未使用严格强制实施的限制进行良好的管理和保护,它们可能会遭到恶意用户的入侵。 例如,恶意用户可能会从一个域控制器中窃取敏感的域管理员凭据,然后使用这些凭据攻击域和林。

    此外,域控制器上安装的应用程序和管理代理可能会提供升级权限的路径,恶意用户可以使用这些升级权限来危害管理服务或该服务的管理员。 你的组织用来管理域控制器及其管理员的管理工具和服务对域控制器和域管理员帐户的安全同样重要。 确保这些服务和管理员都得到充分的保护。

    另请参阅