附录 E:保护 Active Directory 中的 Enterprise Admins 组

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附录 E:保护 Active Directory 中的 Enterprise Admins 组

位于林根域中的 Enterprise Admins (EA) 组在日常工作中不应包含任何用户,根域的管理员帐户可能除外,前提是已按附录 D:保护 Active Directory 中的内置 Administrator 帐户的安全中的说明保护该帐户。

默认情况下,Enterprise Admins 是林中每个域的 Administrators 组成员。 不应从每个域的 Administrators 组中删除 EA 组,因为在进行林灾难恢复时,可能需要 EA 权限。 林的 Enterprise Admins 组应按照以下分步说明中所述进行保护。

对于林中的 Enterprise Admins 组:

  1. 在各个域链接到包含成员服务器和工作站的 OU 的 GPO 中,应将 Enterprise Admins 组添加到以下用户权限中(按“计算机配置”\“策略”\“Windows 设置”\“安全设置”\“本地策略”\“用户权限分配”路径导航):

    • 拒绝通过网络访问该计算机

    • 拒绝以批处理作业身份登录

    • 拒绝以服务身份登录

    • 拒绝本地登录

    • 拒绝通过远程桌面服务登录

  2. 配置审核以在对 Enterprise Admins 组的属性或成员身份进行任何修改时发送警报。

有关删除 Enterprise Admins 组中所有成员的分步说明

  1. 在“服务器管理器”中,依次单击“工具”和“Active Directory 用户和计算机”。

  2. 如果不管理林的根域,请在控制台树中右键单击“<域>”,然后单击“更改域”(其中“<域>”是当前管理的域的名称)。

    Screenshot that highlights the Change Domain menu option.

  3. 在“更改域”对话框中,单击“浏览”,选择林的根域,然后单击“确定”。

    Screenshot that shows the OK button in the Change domain dialog box.

  4. 删除 EA 组的所有成员:

    1. 双击“Enterprise Admins”组,然后单击“成员”选项卡。

      Screenshot that shows the Members tab within the Enterprise Admins group.

    2. 选择组的成员,依次单击“删除”、“是”和“确定”。

  5. 重复步骤 2,直到删除 EA 组的所有成员。

有关在 Active Directory 中保护 Enterprise Admins 的分步说明

  1. 在“服务器管理器”中,单击“工具”,然后单击“组策略管理”。

  2. 在控制台树中,展开“<林>”\“域”\“<域>”,然后展开“组策略对象”(其中“<林>”是林的名称,“<域>”是要设置组策略的域的名称)。

    注意

    在包含多个域的林中,在要求保护 Enterprise Admins 组的每个域中应创建类似的 GPO。

  3. 在控制台树中,右键单击“组策略对象”,然后单击“新建”。

    Screenshot that shows the New menu option in the Group Policy Objects menu.

  4. 在“新建 GPO”对话框中,键入“GPO 名称>”,然后单击“确定”(其中“<GPO 名称>”是此 GPO 的名称)。

    Screenshot that shows where to type the GPO name and select the source starter GPO.

  5. 在详细信息窗格中,右键单击“GPO 名称>”,然后单击“编辑”。

  6. 导航到“Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies”,然后单击“用户权限分配”。

    Screenshot that shows where to select User Rights Assignment.

  7. 配置用户权限来阻止 Enterprise Admins 组的成员通过网络访问成员服务器和工作站,操作如下所示:

    1. 双击“拒绝通过网络访问该计算机”,然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”,然后单击“浏览”。

    3. 键入“Enterprise Admins”,依次单击“检查名称”和“确定”。

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations over the network.

    4. 单击两次“确定”。

  8. 配置用户权限来阻止 Enterprise Admins 组的成员以批处理作业身份登录,操作如下所示:

    1. 双击“拒绝以批处理作业登录”,然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”,然后单击“浏览”。

      注意

      在包含多个域的林中,单击“位置”并选择林的根域。

    3. 键入“Enterprise Admins”,依次单击“检查名称”和“确定”。

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from logging on as a batch job.

    4. 单击两次“确定”。

  9. 配置用户权限来阻止 EA 组的成员以服务身份登录,操作如下所示:

    1. 双击“拒绝以服务登录”,然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”,然后单击“浏览”。

      注意

      在包含多个域的林中,单击“位置”并选择林的根域。

    3. 键入“Enterprise Admins”,依次单击“检查名称”和“确定”。

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the EA group from logging on as a service.

    4. 单击两次“确定”。

  10. 配置用户权限来阻止 Enterprise Admins 组的成员在本地登录到成员服务器和工作站,操作如下所示:

    1. 双击“拒绝本地登录”,然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”,然后单击“浏览”。

      注意

      在包含多个域的林中,单击“位置”并选择林的根域。

    3. 键入“Enterprise Admins”,依次单击“检查名称”和“确定”。

      Screenshot that shows how to verify that you have configured user rights to prevent members of the Enterprise Admins group from logging on locally to member servers and workstations.

    4. 单击两次“确定”。

  11. 配置用户权限来阻止 Enterprise Admins 组的成员通过远程桌面服务访问成员服务器和工作站,操作如下所示:

    1. 双击“拒绝通过远程桌面服务登录”,然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”,然后单击“浏览”。

      注意

      在包含多个域的林中,单击“位置”并选择林的根域。

    3. 键入“Enterprise Admins”,依次单击“检查名称”和“确定”。

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations via Remote Desktop Services.

    4. 单击两次“确定”。

  12. 要退出“组策略管理编辑器”,请依次单击“文件”和“退出”。

  13. 在“组策略管理”中,通过执行以下操作将 GPO 链接到成员服务器和工作站 OU:

    1. 导航到“<Forest>”\“域”\“<Domain>”(其中“<Forest>”是林的名称,“<Domain>”是要设置组策略的域的名称)。

    2. 右键单击 GPO 将应用到的 OU,然后单击“链接现有 GPO”。

      Screenshot that highlights the Link an existing GPO menu option.

    3. 选择你刚创建的 GPO 并单击“确定”。

      Screenshot that shows where to select the GPO that you just created.

    4. 创建包含工作站的所有其他 OU 的链接。

    5. 创建指向包含成员服务器的所有其他 OU 的链接。

    6. 在包含多个域的林中,在要求保护 Enterprise Admins 组的每个域中应创建类似的 GPO。

重要

如果使用跳转服务器来管理域控制器和 Active Directory,请确保跳转服务器位于此 GPO 未链接到的 OU 中。

验证步骤

验证“拒绝通过网络访问该计算机”GPO 设置

在不受 GPO 更改影响的任何成员服务器或工作站(例如“跳转服务器”)中,尝试通过网络访问受 GPO 更改影响的成员服务器或工作站。 若要验证 GPO 设置,请执行以下步骤,尝试使用 NET USE 命令映射系统驱动器:

  1. 使用 EA 组成员帐户在本地登录。

  2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  3. 在“搜索”框中,键入“命令提示符”,右键单击“命令提示符”,然后单击“以管理员身份运行”以打开提升的命令提示符。

  4. 当系统提示批准提升时,单击“是”。

    Screenshot that shows the dialog box where you approve the elevation.

  5. 在“命令提示符”窗口中,键入“net use \\<Server Name>\c$”,其中“<Server Name>”是你尝试通过网络访问的成员服务器或工作站的名称。

  6. 以下屏幕截图显示了应出现的错误消息。

    Screenshot that shows the error message that should appear.

验证“拒绝以批处理作业登录”GPO 设置

在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

创建批处理文件
  1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  2. 在“搜索”框中,键入“记事本”,然后单击“记事本”。

  3. 在记事本中键入“dir c:”。

  4. 依次单击“文件”和“另存为”。

  5. 在“文件名”框中,键入“<文件名>.bat”(其中“<文件名>”是新批处理文件的名称)。

计划任务
  1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  2. 在“搜索”框中,键入“任务计划程序”,然后单击“任务计划程序”。

    注意

    在运行 Windows 8 的计算机上,在“搜索”框中键入“计划任务”,然后单击“计划任务”。

  3. 依次单击“操作”和“创建任务”。

  4. 在“创建任务”对话框中,键入“<任务名称>”(其中“<任务名称>”是新任务的名称)。

  5. 单击“操作”选项卡,然后单击“新建”。

  6. 在“操作”字段中,选择“启动程序”。

  7. 在“程序/脚本”下,单击“浏览”,找到并选择在“创建批处理文件”部分创建的批处理文件,然后单击“打开”。

  8. 单击“确定”。

  9. 单击“常规”选项卡。

  10. 在“安全选项”字段中,单击“更改用户或组”。

  11. 键入 EA 组成员帐户的名称,依次单击“检查名称”和“确定”。

  12. 依次选择“运行(无论用户是否登录)”和“不存储密码”。 该任务将只能访问本地计算机资源。

  13. 单击“确定”。

  14. 此时应显示一个对话框,请求使用用户帐户凭据运行任务。

  15. 输入凭据后,单击“确定”。

  16. 随即应显示类似于以下的对话框。

    Screenshot that shows the Task Scheduler dialog box.

验证“拒绝以服务登录”GPO 设置

  1. 在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

  2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  3. 在“搜索”框中,键入“服务”,然后单击“服务”。

  4. 找到并双击“打印后台处理程序”。

  5. 单击“登录”选项卡。

  6. 在“登录方式”下,选择“此帐户”。

  7. 单击“浏览”,键入 EA 组成员帐户的名称,然后依次单击“检查名称”和“确定”。

  8. 在“密码:”和“确认密码”下,键入所选帐户的密码,然后单击“确定”。

  9. 再单击三次“确定”。

  10. 右键单击“打印后台处理程序”服务,然后选择“重启”。

  11. 重新启动服务时,应显示如下所示的对话框。

    Screenshot that shows a message that says that Windows could not start the Print Spooler server.

还原对打印机后台处理程序服务所做的更改

  1. 在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

  2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  3. 在“搜索”框中,键入“服务”,然后单击“服务”。

  4. 找到并双击“打印后台处理程序”。

  5. 单击“登录”选项卡。

  6. 在“登录方式”下,选择“本地系统”帐户,然后单击“确定”。

验证“拒绝本地登录”GPO 设置

  1. 在受 GPO 更改影响的任何成员服务器或工作站中,尝试使用 EA 组成员帐户在本地登录。 随即应显示如下所示的对话框。

    Screenshot that shows a message that says that the sign-in method you're using isn't allowed.

验证“拒绝通过远程桌面服务登录”GPO 设置

  1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  2. 在“搜索”框中,键入“远程桌面连接”,然后单击“远程桌面连接”。

  3. 在“计算机”字段中,键入要连接到的计算机的名称,然后单击“连接”。 (除计算机名称外,还可以键入 IP 地址。)

  4. 出现提示时,请提供 EA 组成员帐户的凭据。

  5. 随即应显示如下所示的对话框。

    secure enterprise admin groups