附录 F:保护 Active Directory 中的 Domain Admins 组

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附录 F:保护 Active Directory 中的 Domain Admins 组

与Enterprise管理员 (EA) 组的情况一样,域管理员 (DA) 组中的成员身份仅在生成或灾难恢复方案中是必需的。 如果已按照 附录 D:Built-In 保护 Active Directory 中的管理员帐户,则 DA 组中不应有日常用户帐户,但域的内置管理员帐户除外。

默认情况下,域管理员是其各自域中所有成员服务器和工作站上本地管理员组的成员。 不应针对可支持性和灾难恢复目的修改此默认嵌套。 如果域管理员已从成员服务器上的本地管理员组中删除,则应将该组添加到域中每个成员服务器和工作站上的管理员组。 应按照以下分步说明中所述保护每个域的域管理员组。

对于林中每个域中的域管理员组:

  1. 从组中删除所有成员,但域的内置管理员帐户可能除外,前提是该帐户已受到保护,如 附录 D:保护 Active Directory 中的Built-In管理员帐户

  2. 在链接到包含每个域中成员服务器和工作站的 OU 中,应将 DA 组添加到计算机配置\Policies\Windows 设置\Security 设置\Local Policies\User Rights Assignments 中的以下用户权限:

    • 拒绝通过网络访问该计算机

    • 拒绝以批处理作业登录

    • 拒绝以服务登录

    • 拒绝本地登录

    • 拒绝通过远程桌面服务用户权限登录

  3. 如果对域管理员组的属性或成员身份进行了任何修改,则应将审核配置为发送警报。

从域管理员组中删除所有成员的分步说明

  1. 服务器管理器中,单击“工具”,然后单击Active Directory 用户和计算机

  2. 若要从 DA 组中删除所有成员,请执行以下步骤:

    1. 双击 “域管理员 ”组,然后单击“ 成员 ”选项卡。

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. 选择组的成员,单击“ 删除”,单击“ ”,然后单击“ 确定”。

  3. 重复步骤 2,直到删除 DA 组的所有成员。

有关在 Active Directory 中保护域管理员的分步说明

  1. 服务器管理器中,单击“工具”,然后单击“组策略管理”。

  2. 在控制台树中,展开<“林>\域”\<“域>”,然后组策略对象 (其中林的名称,<“<>域>”是要设置组策略) 的域的名称。

  3. 在控制台树中,右键单击组策略对象,然后单击“新建”。

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. 在“ 新建 GPO ”对话框中,键入 <GPO 名称>,然后单击“ 确定 ” (其中 <GPO 名称> 是此 GPO) 的名称。

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. 在详细信息窗格中,右键单击 <GPO 名称>,然后单击“ 编辑”。

  6. 导航到计算机配置\策略\Windows 设置\安全设置\本地策略,然后单击“用户权限分配”。

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. 通过执行以下操作,配置用户权限以防止域管理员组的成员通过网络访问成员服务器和工作站:

    1. 双击“ 拒绝从网络访问此计算机 ”,然后选择“ 定义这些策略设置”。

    2. 单击“ 添加用户或组 ”,然后单击“ 浏览”。

    3. 键入 域管理员,单击 “检查名称”,然后单击“ 确定”。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. 单击 “确定”,然后再次 单击“确定 ”。

  8. 通过执行以下操作,配置用户权限以防止 DA 组的成员以批处理作业身份登录:

    1. 双击 “拒绝登录”作为批处理作业 ,然后选择“ 定义这些策略设置”。

    2. 单击“ 添加用户或组 ”,然后单击“ 浏览”。

    3. 键入 域管理员,单击 “检查名称”,然后单击“ 确定”。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. 单击 “确定”,然后再次 单击“确定 ”。

  9. 通过执行以下操作,配置用户权限以防止 DA 组的成员以服务身份登录:

    1. 双击 “拒绝以服务身份登录 ”,然后选择“ 定义这些策略设置”。

    2. 单击“ 添加用户或组 ”,然后单击“ 浏览”。

    3. 键入 域管理员,单击 “检查名称”,然后单击“ 确定”。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. 单击 “确定”,然后再次 单击“确定 ”。

  10. 通过执行以下操作,配置用户权限以防止域管理员组的成员在本地登录到成员服务器和工作站:

    1. 双击 “在本地拒绝登录 ”,然后选择“ 定义这些策略设置”。

    2. 单击“ 添加用户或组 ”,然后单击“ 浏览”。

    3. 键入 域管理员,单击 “检查名称”,然后单击“ 确定”。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. 单击 “确定”,然后再次 单击“确定 ”。

  11. 通过执行以下操作,配置用户权限以防止域管理员组的成员通过远程桌面服务访问成员服务器和工作站:

    1. 双击“ 拒绝通过远程桌面服务登录 ”,然后选择“ 定义这些策略设置”。

    2. 单击“ 添加用户或组 ”,然后单击“ 浏览”。

    3. 键入 域管理员,单击 “检查名称”,然后单击“ 确定”。

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. 单击 “确定”,然后再次 单击“确定 ”。

  12. 若要退出组策略管理编辑器,请单击“文件”,然后单击“退出”。

  13. 在组策略管理中,通过执行以下操作将 GPO 链接到成员服务器和工作站 OU:

    1. 导航到 <Forest>\Domains\<Domain> (其中<,林>是林的名称,<域>是要在其中设置组策略) 的域的名称。

    2. 右键单击将应用 GPO 的 OU,然后单击“ 链接现有 GPO”。

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. 选择刚创建的 GPO,然后单击“ 确定”。

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. 创建指向包含工作站的其他所有 OU 的链接。

    5. 创建指向包含成员服务器的其他所有 OU 的链接。

      重要

      如果跳转服务器用于管理域控制器和 Active Directory,请确保跳转服务器位于此 GPO 未链接到的 OU 中。

验证步骤

验证“拒绝从网络访问此计算机”GPO 设置

从不受 GPO 更改影响的任何成员服务器或工作站 ((如“跳转服务器”) )尝试通过受 GPO 更改影响的网络访问成员服务器或工作站。 若要验证 GPO 设置,请尝试使用 NET USE 命令映射系统驱动器。

  1. 使用属于域管理员组成员的帐户在本地登录。

  2. 使用鼠标,将指针移动到屏幕右上角或右下角。 出现 “超级按钮 ”栏时,单击“ 搜索”。

  3. “搜索 ”框中,键入 命令提示符,右键单击 命令提示符,然后单击“ 以管理员身份运行 ”以打开提升的命令提示符。

  4. 当系统提示批准提升时,单击“ ”。

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. 命令提示符 窗口中,键入 net 使用 \\<Server Name>\c$,其中 <服务器名称> 是尝试通过网络访问的成员服务器或工作站的名称。

  6. 以下屏幕截图显示了应显示的错误消息。

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

验证“拒绝以批处理作业身份登录”GPO 设置

从受 GPO 更改影响的任何成员服务器或工作站中,在本地登录。

创建批处理文件

  1. 使用鼠标,将指针移动到屏幕右上角或右下角。 出现 “超级按钮 ”栏时,单击“ 搜索”。

  2. “搜索”框中,键入记事本,然后单击记事本

  3. 记事本 中,键入 dir c:

  4. 单击“ 文件”,然后单击“ 另存为”。

  5. “文件名”字段中,键入 <Filename.bat(,其中 Filename>> 是新批处理文件的名称<) 。

计划任务

  1. 使用鼠标,将指针移动到屏幕右上角或右下角。 出现 “超级按钮 ”栏时,单击“ 搜索”。

  2. “搜索 ”框中,键入 任务计划程序,然后单击“ 任务计划程序”。

    注意

    在运行Windows 8的计算机上,在“搜索”框中,键入计划任务,然后单击“计划任务”。

  3. “任务计划程序 ”菜单栏中,单击“ 操作”,然后单击“ 创建任务”。

  4. 在“创建任务”对话框中,键入<“任务名称” (,其中任务名称>>是新任务的名称) 。<

  5. 单击“ 操作 ”选项卡,然后单击“ 新建”。

  6. “操作 ”字段中,选择“ 启动程序”。

  7. “程序/脚本”下,单击“ 浏览”,找到并选择在 “创建批处理文件 ”部分中创建的批处理文件,然后单击“ 打开”。

  8. 单击 “确定”

  9. 单击“常规”选项卡。

  10. “安全 ”选项下,单击“ 更改用户或组”。

  11. 键入属于域管理员组成员的帐户的名称,单击“ 检查名称”,然后单击“ 确定”。

  12. 选择 “运行用户是否登录 ”,然后选择“ 不存储密码”。 该任务只能访问本地计算机资源。

  13. 单击 “确定”

  14. 此时会显示一个对话框,请求用户帐户凭据来运行任务。

  15. 输入凭据后,单击“ 确定”。

  16. 应显示类似于以下内容的对话框。

    Screenshot that shows the error that should occur after you enter the credentials.

验证“拒绝以服务身份登录”GPO 设置

  1. 从受 GPO 更改影响的任何成员服务器或工作站中,在本地登录。

  2. 使用鼠标,将指针移动到屏幕右上角或右下角。 出现 “超级按钮 ”栏时,单击“ 搜索”。

  3. “搜索 ”框中,键入 服务,然后单击“ 服务”。

  4. 找到并双击 “打印后台处理程序”。

  5. 单击“登录”选项卡。

  6. “登录方式”下,选择 “此帐户 ”选项。

  7. 单击“ 浏览”,键入属于域管理员组成员的帐户的名称,单击“ 检查名称”,然后单击“ 确定”。

  8. “密码 ”和 “确认密码”下,键入所选帐户的密码,然后单击“ 确定”。

  9. 再单击“ 确定 ”三次。

  10. 右键单击 “打印后台处理程序 ”,然后单击“ 重启”。

  11. 重新启动服务后,将显示类似于以下内容的对话框。

    Screenshot that shows the dialog box that appears after the service is restarted.

将更改还原到打印机后台处理程序服务

  1. 从受 GPO 更改影响的任何成员服务器或工作站中,在本地登录。

  2. 使用鼠标,将指针移动到屏幕右上角或右下角。 出现 “超级按钮 ”栏时,单击“ 搜索”。

  3. “搜索 ”框中,键入 服务,然后单击“ 服务”。

  4. 找到并双击 “打印后台处理程序”。

  5. 单击“登录”选项卡。

  6. “登录方式”下,选择 “本地系统 帐户”,然后单击“ 确定”。

验证“拒绝本地登录”GPO 设置

  1. 从受 GPO 更改影响的任何成员服务器或工作站中,尝试使用属于域管理员组成员的帐户在本地登录。 应显示类似于以下内容的对话框。

    secure domain admin groups

验证“拒绝通过远程桌面服务登录”GPO 设置

  1. 使用鼠标,将指针移动到屏幕右上角或右下角。 出现 “超级按钮 ”栏时,单击“ 搜索”。

  2. “搜索 ”框中,键入 远程桌面连接,然后单击 “远程桌面连接”。

  3. 在“计算机”字段中,键入要连接到的计算机的名称,然后单击连接。 (还可以键入 IP 地址,而不是计算机名称。)

  4. 出现提示时,请提供作为域管理员组成员的帐户的凭据。

  5. 应显示类似于以下内容的对话框。

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.