附录 H：保护本地管理员帐户和组

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

附录 H：保护本地管理员帐户和组

在目前主流支持的所有 Windows 版本上，默认禁用了本地 Administrator 帐户，这使得该帐户无法用于“哈希传递”及其他凭据盗窃攻击。 但在包含旧操作系统或已启用本地 Administrator 帐户的环境中，如前所述，这些帐户可用于跨成员服务器和工作站传播入侵。 每个本地 Administrator 帐户和组都应按照以下分步说明给予保护。

有关保护“内置 Administrator”(BA) 组的注意事项的详细信息，请参阅实现最小特权管理模型。

用于本地 Administrator 帐户的控制措施

对于林中每个域中的本地 Administrator 帐户，应配置以下设置：

• 配置 GPO，用于限制在加入域的系统上使用域的 Administrator 帐户

  • 在所创建并链接到每个域中工作站和成员服务器 OU 的一个或多个 GPO 中，将 Administrator 帐户添加到 Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments 中的以下用户权限：

    • 拒绝通过网络访问该计算机

    • 拒绝以批处理作业身份登录

    • 拒绝以服务登录

    • 拒绝通过远程桌面服务登录

有关保护本地管理员组的分步说明

配置 GPO 以限制加入域的系统上的 Administrator 帐户

1. 在“服务器管理器”中，单击“工具”，然后单击“组策略管理”。

2. 在控制台树中，展开“<Forest>”\“域”\“<Domain>”，然后展开“组策略对象”（其中“<Forest>”是林的名称，“<Domain>”是要在其中设置组策略的域的名称）。

3. 在控制台树中，右键单击“组策略对象”，然后单击“新建”。

   

4. 在“新建 GPO”对话框中，键入“<GPO 名称>”，然后单击“确定”（其中“<GPO 名称>”是此 GPO 的名称）。

   

5. 在详细信息窗格中，右键单击“<GPO 名称>”，然后单击“编辑”。

6. 导航到“Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies”，然后单击“用户权限分配”。

   

7. 通过执行以下操作配置用户权限，以便阻止本地 Administrator 帐户通过网络访问成员服务器和工作站：

   1. 双击“拒绝通过网络访问该计算机”，然后选择“定义这些策略设置”。

   2. 单击“添加用户或组”，键入本地 Administrator 帐户的用户名，然后单击“确定”。 此用户名将为“Administrator”，这是安装 Windows 后的默认用户名。

      

   3. 单击“确定”。

      重要

      将 Administrator 帐户添加到这些设置时，可以通过标记帐户的方式指定是要配置本地 Administrator 帐户还是域 Administrator 帐户。 例如，若要将 TAILSPINTOYS 域的 Administrator 帐户添加到这些拒绝权限，请浏览到 TAILSPINTOYS 域的 Administrator 帐户，该帐户显示为 TAILSPINTOYS\Administrator。 如果在组策略对象编辑器的这些用户权限设置中键入“Administrator，将会限制应用 GPO 的每台计算机上的本地 Administrator 帐户（如前所述）。

8. 通过执行以下操作配置用户权限，以便阻止本地 Administrator 帐户以批处理作业形式登录：

   1. 双击“拒绝以批处理作业登录”，然后选择“定义这些策略设置”。

   2. 单击“添加用户或组”，键入本地 Administrator 帐户的用户名，然后单击“确定”。 此用户名将为“Administrator”，这是安装 Windows 后的默认用户名。

      

   3. 单击“确定”。

      重要

      将 Administrator 帐户添加到这些设置时，可以通过帐户的标记方式来指定是要配置本地 Administrator 帐户还是域 Administrator 帐户。 例如，若要将 TAILSPINTOYS 域的 Administrator 帐户添加到这些拒绝权限，请浏览到 TAILSPINTOYS 域的 Administrator 帐户，该帐户显示为 TAILSPINTOYS\Administrator。 如果在组策略对象编辑器的这些用户权限设置中键入“Administrator，将会限制应用 GPO 的每台计算机上的本地 Administrator 帐户（如前所述）。

9. 通过执行以下操作来配置用户权限，以便阻止本地 Administrator 帐户以服务形式登录：

   1. 双击“拒绝以服务登录”，然后选择“定义这些策略设置”。

   2. 单击“添加用户或组”，键入本地 Administrator 帐户的用户名，然后单击“确定”。 此用户名将为“Administrator”，这是安装 Windows 后的默认用户名。

      

   3. 单击“确定”。

      重要

      将 Administrator 帐户添加到这些设置时，可以通过帐户的标记方式来指定是要配置本地 Administrator 帐户还是域 Administrator 帐户。 例如，若要将 TAILSPINTOYS 域的 Administrator 帐户添加到这些拒绝权限，请浏览到 TAILSPINTOYS 域的 Administrator 帐户，该帐户显示为 TAILSPINTOYS\Administrator。 如果在组策略对象编辑器的这些用户权限设置中键入“Administrator，将会限制应用 GPO 的每台计算机上的本地 Administrator 帐户（如前所述）。

10. 通过执行以下操作配置用户权限，以便阻止本地 Administrator 帐户通过远程桌面服务访问成员服务器和工作站：

    1. 双击“拒绝通过远程桌面服务登录”，然后选择“定义这些策略设置”。

    2. 单击“添加用户或组”，键入本地 Administrator 帐户的用户名，然后单击“确定”。 此用户名将为“Administrator”，这是安装 Windows 后的默认用户名。

       

    3. 单击“确定”。

       重要

       将 Administrator 帐户添加到这些设置时，可以通过帐户的标记方式来指定是要配置本地 Administrator 帐户还是域 Administrator 帐户。 例如，若要将 TAILSPINTOYS 域的 Administrator 帐户添加到这些拒绝权限，请浏览到 TAILSPINTOYS 域的 Administrator 帐户，该帐户显示为 TAILSPINTOYS\Administrator。 如果在组策略对象编辑器的这些用户权限设置中键入“Administrator，将会限制应用 GPO 的每台计算机上的本地 Administrator 帐户（如前所述）。

11. 若要退出“组策略管理编辑器”，请依次单击“文件”和“退出”。

12. 在“组策略管理”中，通过执行以下操作将 GPO 链接到成员服务器和工作站 OU：

    1. 导航到“<Forest>”\“域”\“<Domain>”（其中“<Forest>”是林的名称，“<Domain>”是要设置组策略的域的名称）。

    2. 右键单击 GPO 将应用到的 OU，然后单击“链接现有 GPO”。

       

    3. 选择创建的 GPO，然后单击“确定”。

       

    4. 创建包含工作站的所有其他 OU 的链接。

    5. 创建包含成员服务器的所有其他 OU 的链接。

验证步骤

验证“拒绝通过网络访问该计算机”GPO 设置

尝试通过网络从不受 GPO 更改影响的任何成员服务器或工作站（例如“跳转服务器”）访问受 GPO 更改影响的成员服务器或工作站。 若要验证 GPO 设置，请尝试使用 NET USE 命令映射系统驱动器。

1. 在本地登录到任何不受 GPO 更改影响的成员服务器或工作站。

2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

3. 在“搜索”框中，键入“命令提示符”，右键单击“命令提示符”，然后单击“以管理员身份运行”以打开提升的命令提示符。

4. 当系统提示批准提升时，单击“是”。

   

5. 在“命令提示符”窗口中，键入 net use \\<Server Name>\c$ /user:<Server Name>\Administrator，其中“<服务器名称>”是尝试通过网络访问的成员服务器或工作站的名称。

   注意

   本地 Administrator 凭据须来自你尝试通过网络访问的同一系统。

6. 以下屏幕截图显示了应出现的错误消息。

   

验证“拒绝以批处理作业登录”GPO 设置

在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

创建批处理文件

1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

2. 在“搜索”框中，键入“记事本”，然后单击“记事本”。

3. 在记事本中键入“dir c:”。

4. 依次单击“文件”和“另存为”。

5. 在“文件名”框中，键入 <Filename>.bat（其中“<文件名>”是新批处理文件的名称）。

计划任务

1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

2. 在“搜索”框中，键入任务计划程序，然后单击“任务计划程序”。

   注意

   在运行 Windows 8 的计算机上，在“搜索”框中键入“计划任务”，然后单击“计划任务”。

3. 依次单击“操作”和“创建任务”。

4. 在“创建任务”对话框中，键入“任务名称”<>（其中“任务名称”是新任务的名称）。<>

5. 单击“操作”选项卡，然后单击“新建”。

6. 在“操作”字段中，单击“启动程序”。

7. 在“程序/脚本”字段中，单击“浏览”，找到并选择在“创建批处理文件”部分创建的批处理文件，然后单击“打开”。

8. 单击“确定”。

9. 单击“常规”选项卡。

10. 在“安全选项”字段中，单击“更改用户或组”。

11. 键入系统本地 Administrator 帐户的名称，依次单击“检查名称”和“确定”。

12. 选择“运行(无论用户是否登录)”和“不存储密码”。 该任务将只能访问本地计算机资源。

13. 单击“确定”。

14. 此时应显示一个对话框，请求使用用户帐户凭据运行任务。

15. 输入凭据后，单击“确定”。

16. 随即应显示类似于以下的对话框。

    

验证“拒绝以服务登录”GPO 设置

1. 在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

3. 在“搜索”框中，键入“服务”，然后单击“服务”。

4. 找到并双击“打印后台处理程序”。

5. 单击“登录”选项卡。

6. 在“登录身份”字段中，单击“此帐户”。

7. 单击“浏览”，键入系统本地 Administrator 帐户，依次单击“检查名称”和“确定”。

8. 在“密码”和“确认密码”字段中，键入所选帐户的密码，然后单击“确定”。

9. 再单击三次“确定”。

10. 右键单击“打印后台处理程序”，然后单击“重启”。

11. 重启服务时，应显示如下所示的对话框。

    

还原对打印机后台处理程序服务所做的更改

1. 在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

3. 在“搜索”框中，键入“服务”，然后单击“服务”。

4. 找到并双击“打印后台处理程序”。

5. 单击“登录”选项卡。

6. 在“登录身份:”字段中，选择“本地系统帐户”，然后单击“确定”。

验证“拒绝通过远程桌面服务登录”GPO 设置

1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

2. 在“搜索”框中，键入“远程桌面连接”，然后单击“远程桌面连接”。

3. 在“计算机”字段中，键入要连接到的计算机的名称，然后单击“连接”。 （除计算机名称外，还可以键入 IP 地址。）

4. 出现提示时，提供系统本地 Administrator 帐户的凭据。

5. 随即应显示类似于以下的对话框。