附录 F:保护 Active Directory 中的 Domain Admins 组

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附录 F:保护 Active Directory 中的 Domain Admins 组

与 Enterprise Admins (EA) 组的情况一样,只有在生成或灾难恢复方案中才需要 Domain Admins (DA) 组中的成员身份。 DA 组中不应有任何日常用户帐户,但域的内置 Administrator 帐户除外,前提是已按照附录 D:保护 Active Directory 中的内置 Administrator 帐户中所述进行了保护。

默认情况下,Domain Admins 是其各自域中所有成员服务器和工作站上的本地 Administrators 组的成员。 不应出于可支持性和灾难恢复目的而修改此默认嵌套。 如果 Domain Admins 已从成员服务器上的本地 Administrators 组中删除,则该组应添加到域中每个成员服务器和工作站上的 Administrators 组中。 每个域的 Domain Admins 组都应按照下面的分步说明进行保护。

对于林中每个域中的 Domain Admins 组:

  1. 删除该组中的所有成员,域的内置 Administrator 帐户可能除外,前提是已按照附录 D:保护 Active Directory 中的内置 Administrator 帐户中所述进行了保护。

  2. 在链接到包含每个域中的成员服务器和工作站的 OU 的 GPO 中,应将 DA 组添加到以下用户权限中(路径为“计算机配置”\“策略”\“Windows 设置”\“安全设置”\“本地策略”\“用户权限分配”):

    • 拒绝通过网络访问该计算机

    • 拒绝以批处理作业身份登录

    • 拒绝以服务身份登录

    • 拒绝本地登录

    • “拒绝通过远程桌面服务登录”用户权限

  3. 审核应配置为在对 Domain Admins 组的属性或成员身份进行任何修改时发送警报。

有关删除 Domain Admins 组中所有成员的分步说明

  1. 在“服务器管理器”中,单击“工具”,然后单击“Active Directory 用户和计算机”。

  2. 要删除 DA 组中的所有成员,请执行以下步骤:

    1. 双击“Domain Admins”组,然后单击“成员”选项卡。

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. 选择该组的成员,依次单击“删除”、“是”和“确定”。

  3. 重复步骤 2,直到删除 DA 组的所有成员。

有关保护 Active Directory 中的 Domain Admins 的分步说明

  1. 在“服务器管理器”中,单击“工具”,然后单击“组策略管理”。

  2. 在控制台树中,展开“<Forest>”\“域”\“<Domain>”,然后展开“组策略对象”(其中“<Forest>”是林的名称,“<Domain>”是要在其中设置组策略的域的名称)。

  3. 在控制台树中,右键单击“组策略对象”,然后单击“新建”。

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. 在“新建 GPO”对话框中,键入“GPO 名称>”,然后单击“确定”(其中“<GPO 名称>”是此 GPO 的名称)。

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. 在详细信息窗格中,右键单击“GPO 名称>”,然后单击“编辑”。

  6. 导航到“Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies”,然后单击“用户权限分配”。

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. 通过执行以下操作配置用户权限,以阻止 Domain Admins 组的成员通过网络访问成员服务器和工作站:

    1. 双击“拒绝通过网络访问该计算机”,然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”,然后单击“浏览”。

    3. 键入“Domain Admins”,然后依次单击“检查名称”和“确定”。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. 单击两次“确定”。

  8. 通过执行以下操作配置用户权限,以阻止 DA 组的成员以批处理作业形式登录:

    1. 双击“拒绝以批处理作业登录”,然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”,然后单击“浏览”。

    3. 键入“Domain Admins”,然后依次单击“检查名称”和“确定”。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. 单击两次“确定”。

  9. 通过执行以下操作配置用户权限,以阻止 DA 组的成员以服务形式登录:

    1. 双击“拒绝以服务登录”,然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”,然后单击“浏览”。

    3. 键入“Domain Admins”,然后依次单击“检查名称”和“确定”。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. 单击两次“确定”。

  10. 通过执行以下操作配置用户权限,以阻止 Domain Admins 组的成员在本地登录到成员服务器和工作站:

    1. 双击“拒绝本地登录”,然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”,然后单击“浏览”。

    3. 键入“Domain Admins”,然后依次单击“检查名称”和“确定”。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. 单击两次“确定”。

  11. 通过执行以下操作配置用户权限,以阻止 Domain Admins 组的成员通过远程桌面服务访问成员服务器和工作站:

    1. 双击“拒绝通过远程桌面服务登录”,然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”,然后单击“浏览”。

    3. 键入“Domain Admins”,然后依次单击“检查名称”和“确定”。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. 单击两次“确定”。

  12. 要退出“组策略管理编辑器”,请依次单击“文件”和“退出”。

  13. 在“组策略管理”中,通过执行以下操作将 GPO 链接到成员服务器和工作站 OU:

    1. 导航到“<Forest>”\“域”\“<Domain>”(其中“<Forest>”是林的名称,“<Domain>”是要设置组策略的域的名称)。

    2. 右键单击 GPO 将应用到的 OU,然后单击“链接现有 GPO”。

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. 选择你刚创建的 GPO 并单击“确定”。

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. 创建包含工作站的所有其他 OU 的链接。

    5. 创建包含成员服务器的所有其他 OU 的链接。

      重要

      如果使用跳转服务器来管理域控制器和 Active Directory,请确保跳转服务器位于此 GPO 未链接到的 OU 中。

验证步骤

验证“拒绝通过网络访问该计算机”GPO 设置

在不受 GPO 更改影响的任何成员服务器或工作站(例如“跳转服务器”)中,尝试通过网络访问受 GPO 更改影响的成员服务器或工作站。 要验证 GPO 设置,请尝试使用 NET USE 命令映射系统驱动器。

  1. 使用 Domain Admins 组成员帐户在本地登录。

  2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  3. 在“搜索”框中,键入“命令提示符”,右键单击“命令提示符”,然后单击“以管理员身份运行”以打开提升的命令提示符。

  4. 当系统提示批准提升时,单击“是”。

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. 在“命令提示符”窗口中,键入“net use \\<Server Name>\c$”,其中“<Server Name>”是你尝试通过网络访问的成员服务器或工作站的名称。

  6. 以下屏幕截图显示了应出现的错误消息。

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

验证“拒绝以批处理作业登录”GPO 设置

在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

创建批处理文件
  1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  2. 在“搜索”框中,键入“记事本”,然后单击“记事本”。

  3. 在记事本中键入“dir c:”。

  4. 依次单击“文件”和“另存为”。

  5. 在“文件名”字段中,键入“<Filename>.bat”(其中“<Filename>”是新批处理文件的名称)。

计划任务
  1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  2. 在“搜索”框中,键入“任务计划程序”,然后单击“任务计划程序”。

    注意

    在运行 Windows 8 的计算机上,在“搜索”框中键入“计划任务”,然后单击“计划任务”。

  3. 在“任务计划程序”菜单栏中,依次单击“操作”和“创建任务”。

  4. 在“创建任务”对话框中,键入“<Task Name>”(其中“<Task Name>”是新任务的名称)。

  5. 单击“操作”选项卡,然后单击“新建”。

  6. 在“操作”字段中,选择“启动程序”。

  7. 在“程序/脚本”下,单击“浏览”,找到并选择在“创建批处理文件”部分创建的批处理文件,然后单击“打开”。

  8. 单击“确定”。

  9. 单击“常规”选项卡。

  10. 在“安全”选项下,单击“更改用户或组”。

  11. 键入 Domain Admins 组成员帐户的名称,然后依次单击“检查名称”和“确定”。

  12. 依次选择“运行(无论用户是否登录)”和“不存储密码”。 该任务将只能访问本地计算机资源。

  13. 单击“确定”。

  14. 此时应显示一个对话框,请求使用用户帐户凭据运行任务。

  15. 输入凭据后,单击“确定”。

  16. 随即应显示类似于以下的对话框。

    Screenshot that shows the error that should occur after you enter the credentials.

验证“拒绝以服务登录”GPO 设置
  1. 在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

  2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  3. 在“搜索”框中,键入“服务”,然后单击“服务”。

  4. 找到并双击“打印后台处理程序”。

  5. 单击“登录”选项卡。

  6. 在“登录方式”下,选择“此帐户”选项。

  7. 单击“浏览”,键入 Domain Admins 组成员帐户的名称,然后依次单击“检查名称”和“确定”。

  8. 在“密码”和“确认密码”下,键入所选帐户的密码,然后单击“确定”。

  9. 再单击三次“确定”。

  10. 右键单击“打印后台处理程序”,然后单击“重启”。

  11. 重启服务时,应显示如下所示的对话框。

    Screenshot that shows the dialog box that appears after the service is restarted.

还原对打印机后台处理程序服务所做的更改
  1. 在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

  2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  3. 在“搜索”框中,键入“服务”,然后单击“服务”。

  4. 找到并双击“打印后台处理程序”。

  5. 单击“登录”选项卡。

  6. 在“登录方式”下,选择“本地系统”帐户,然后单击“确定”。

验证“拒绝本地登录”GPO 设置
  1. 在受 GPO 更改影响的任何成员服务器或工作站中,尝试使用 Domain Admins 组成员帐户在本地登录。 随即应显示如下所示的对话框。

    secure domain admin groups

验证“拒绝通过远程桌面服务登录”GPO 设置
  1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时,单击“搜索”。

  2. 在“搜索”框中,键入“远程桌面连接”,然后单击“远程桌面连接”。

  3. 在“计算机”字段中,键入要连接到的计算机的名称,然后单击“连接”。 (除计算机名称外,还可以键入 IP 地址。)

  4. 出现提示时,请提供 Domain Admins 组成员帐户的凭据。

  5. 随即应显示如下所示的对话框。

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.