附錄 I︰為 Active Directory 中的受保護帳戶和群組建立管理帳戶

適用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

實作不依賴高度特殊許可權群組中永久成員資格的 Active Directory 模型其中一項挑戰是,當需要群組中的暫時成員資格時,必須有一個機制可填入這些群組。 某些特殊許可權身分識別管理解決方案會要求軟體的服務帳戶被授與樹系中每個網域中的 DA 或系統管理員等群組的永久成員資格。 不過,技術上不需要Privileged Identity Management (PIM) 解決方案,才能在這類高度特殊許可權的內容中執行其服務。

本附錄提供的資訊可讓您用於原生實作或協力廠商 PIM 解決方案,以建立具有有限許可權且可嚴格控制的帳戶,但在需要暫時提高許可權時,可以使用在 Active Directory 中填入特殊許可權群組。 如果您要將 PIM 實作為原生解決方案,系統管理人員可能會使用這些帳戶來執行暫存群組母體擴展,而且如果您是透過協力廠商軟體實作 PIM,則可以調整這些帳戶以作為服務帳戶運作。

注意

本附錄中所述的程式提供一種方法來管理 Active Directory 中的高許可權群組。 您可以調整這些程式以符合您的需求、新增其他限制,或省略此處所述的一些限制。

為 Active Directory 中的受保護帳戶和群組建立管理帳戶

建立可用來管理特殊許可權群組成員資格的帳戶,而不需要授與管理帳戶過多的許可權,是由下列逐步指示中所述的四個一般活動所組成:

  1. 首先,您應該建立將管理帳戶的群組,因為這些帳戶應該由一組有限的受信任使用者管理。 如果您還沒有可容納特殊許可權和受保護帳戶和系統與網域中一般母體隔離的 OU 結構,您應該建立一個。 雖然本附錄中未提供特定指示,但螢幕擷取畫面會顯示這類 OU 階層的範例。

  2. 建立管理帳戶。 這些帳戶應建立為「一般」使用者帳戶,且預設未授與使用者以外的任何使用者權限。

  3. 除了控制誰可以啟用及使用帳戶之外,還會對管理帳戶進行限制,使其僅供建立的特製用途使用,以及控制誰可以啟用和使用帳戶, (您在第一個步驟中建立的群組) 。

  4. 設定每個網域中 AdminSDHolder 物件的許可權,以允許管理帳戶變更網域中特殊許可權群組的成員資格。

在生產環境中實作這些程式之前,您應該徹底測試所有這些程式,並視需要修改這些程式。 您也應該確認所有設定如預期般運作, (本附錄) 提供一些測試程式,而且您應該測試災害復原案例,其中管理帳戶無法用來填入受保護群組以供復原之用。 如需備份和還原 Active Directory 的詳細資訊,請參閱 AD DS 備份和復原逐步指南

注意

藉由實作本附錄中所述的步驟,您將建立能夠管理每個網域中所有受保護群組成員資格的帳戶,而不只是最高許可權 Active Directory 群組,例如 EA、DA 和 BA。 如需 Active Directory 中受保護群組的詳細資訊,請參閱 附錄 C:Active Directory 中的受保護帳戶和群組

建立受保護群組管理帳戶的逐步指示

建立群組以啟用和停用管理帳戶

管理帳戶應該在每次使用時重設其密碼,並在需要密碼完成的活動完成時予以停用。 雖然您可能也考慮實作這些帳戶的智慧卡登入需求,但這是選擇性的設定,而且這些指示假設管理帳戶會以使用者名稱和冗長的複雜密碼設定為最低控制。 在此步驟中,您將建立具有在管理帳戶上重設密碼的許可權,以及啟用和停用帳戶的群組。

若要建立群組以啟用和停用管理帳戶,請執行下列步驟:

  1. 在您要存放管理帳戶的 OU 結構中,以滑鼠右鍵按一下您要建立群組的 OU,按一下 [ 新增 ] ,然後按一下 [ 群組]。

    Screenshot that shows how to select the Group menu option.

  2. 在 [ 新增物件 - 群組 ] 對話方塊中,輸入群組的名稱。 如果您打算使用此群組來「啟用」樹系中的所有管理帳戶,請將它設為通用安全性群組。 如果您有單一網域樹系,或打算在每個網域中建立群組,您可以建立全域安全性群組。 按一下 [確定] 以建立群組。

    Screenshot that shows where to enter the group name in the New Object - Group dialog box.

  3. 以滑鼠右鍵按一下您剛才建立的群組,按一下 [ 屬性],然後按一下 [ 物件] 索引 標籤。在群組的 [物件屬性 ] 對話方塊中,選取 [ 保護物件免于意外刪除],這不只會防止其他授權的使用者刪除群組,也防止將它移至另一個 OU,除非第一次取消選取該屬性。

    Screenshot that shows the Object tab.

    注意

    如果您已設定群組父 OU 的許可權,以將系統管理限制為一組有限的使用者,您可能不需要執行下列步驟。 這裡提供它們,因此即使您尚未對已建立此群組的 OU 結構實作有限的系統管理控制,您也可以保護群組免于未經授權的使用者修改。

  4. 按一下 [ 成員 ] 索引標籤,然後為負責啟用管理帳戶或在必要時填入受保護群組的小組成員新增帳戶。

    Screenshot that shows the accounts on the Members tab.

  5. 如果您尚未這麼做,請在Active Directory 消費者和電腦主控台中,按一下 [檢視],然後選取 [進階功能]。 以滑鼠右鍵按一下您剛才建立的群組,按一下 [ 內容],然後按一下 [ 安全性 ] 索引標籤。在 [ 安全性] 索引 標籤上,按一下 [ 進階]。

    Screenshot that shows the Advanced button on the Security tab.

  6. 在 [群組] 的 [進階安全性設定]對話方塊中,按一下[停用繼承]。 出現提示時,按一下 [將繼承的許可權轉換成此物件的明確許可權],然後按一下 [ 確定 ] 返回群組的 [ 安全性 ] 對話方塊。

    Screenshot that shows where to select Convert inherited permissions into explicit permissions on this object option.

  7. 在 [ 安全性 ] 索引標籤上,移除不應允許存取此群組的群組。 例如,如果您不想讓已驗證的使用者能夠讀取群組的名稱和一般屬性,則可以移除該 ACE。 您也可以移除 ACE,例如帳戶操作員的 ACE,以及預先Windows 2000 Server 相容存取。 不過,您應該保留一組最少的物件使用權限。 讓下列 ACE 保持不變:

    • SELF

    • 系統

    • Domain Admins

    • Enterprise Admins

    • 系統管理員

    • 如果適用) ,Windows授權存取群組 (

    • 企業網域控制站

    雖然在 Active Directory 中允許最高特殊許可權群組管理此群組似乎很直覺,但實作這些設定的目標並不是防止這些群組的成員進行授權的變更。 相反地,目標是要確保有時候需要非常高的許可權時,授權的變更將會成功。 基於這個理由,在本檔中不建議變更預設特殊許可權群組巢狀、許可權和許可權。 藉由讓預設結構保持不變,並清空目錄中最高許可權群組的成員資格,您可以建立更安全的環境,以如預期般運作。

    Screenshot that shows the Permissions for Authenticated Users section.

    注意

    如果您尚未為建立此群組之 OU 結構中的物件設定稽核原則,您應該設定稽核以記錄此群組的變更。

  8. 您已完成群組的設定,這些群組會在需要時用來「簽出」管理帳戶,並在其活動完成時「簽入」帳戶。

建立管理帳戶

您應該建立至少一個帳戶,以用來管理 Active Directory 安裝中特殊許可權群組的成員資格,最好是第二個帳戶做為備份。 無論您選擇在樹系中的單一網域中建立管理帳戶,並授與他們所有網域受保護群組的管理功能,還是選擇在樹系中的每個網域中實作管理帳戶,程式實際上都相同。

注意

本檔中的步驟假設您尚未實作 Active Directory 的角色型存取控制和特殊許可權身分識別管理。 因此,某些程式必須由帳戶是有問題的網域 Domain Admins 群組成員的使用者執行。

當您使用具有 DA 許可權的帳戶時,您可以登入網域控制站來執行設定活動。 不需要 DA 許可權的步驟可以由登入系統管理工作站的較少許可權帳戶執行。 顯示以較淺藍色框線的對話方塊的螢幕擷取畫面,代表可在網域控制站上執行的活動。 以較深藍色顯示對話方塊的螢幕擷取畫面,代表可在具有有限許可權之帳戶的系統管理工作站上執行的活動。

若要建立管理帳戶,請執行下列步驟:

  1. 使用屬於網域 DA 群組成員的帳戶登入網域控制站。

  2. 啟動Active Directory 消費者和電腦並流覽至您要在其中建立管理帳戶的 OU。

  3. 以滑鼠右鍵按一下 OU,然後按一下 [ 新增 ],然後按一下 [ 使用者]。

  4. 在 [ 新增物件 - 使用者 ] 對話方塊中,輸入您所需的帳戶命名資訊,然後按 [ 下一步]。

    Screenshot that shows where to enter the naming information.

  5. 提供使用者帳戶的初始密碼、清除 [使用者必須在下次登入時變更密碼]、選取 [ 使用者無法變更密碼 ] 和 [ 帳戶已停用],然後按 [ 下一步]。

    Screenshot that shows where to provide the initial password.

  6. 確認帳戶詳細資料正確無誤,然後按一下 [ 完成]。

  7. 以滑鼠右鍵按一下您剛才建立的使用者物件,然後按一下 [ 屬性]。

  8. 按一下 [帳戶] 索引標籤。

  9. 在 [ 帳戶選項 ] 欄位中,選取 [ 帳戶為敏感性且無法委派 ] 旗標、選取 [ 此帳戶支援 Kerberos AES 128 位加密 ] 和/或 [此帳戶支援 Kerberos AES 256 加密 旗標],然後按一下 [ 確定]。

    Screenshot that shows the options you should select.

    注意

    由於此帳戶與其他帳戶一樣,將會有有限但功能強大的功能,因此該帳戶應該只用于安全的系統管理主機上。 針對您環境中的所有安全系統管理主機,您應該考慮實作群組原則設定網路安全性:設定 Kerberos 允許的加密類型,只允許針對安全主機實作的最安全加密類型。

    雖然為主機實作更安全的加密類型並不會減輕認證竊取攻擊,但安全主機的適當使用和設定會執行。 為只有特殊許可權帳戶使用的主機設定更強大的加密類型,只會減少電腦的整體受攻擊面。

    如需在系統和帳戶上設定加密類型的詳細資訊,請參閱Windows Kerberos 支援的加密類型設定。

    只有在執行 Windows Server 2012、Windows Server 2008 R2、Windows 8 或 Windows 7 的電腦上,才支援這些設定。

  10. 在 [ 物件] 索引 標籤上,選取 [保護物件免于意外刪除]。 這不只會防止物件遭到授權使用者) 刪除 (,也會防止它移至 AD DS 階層中的不同 OU,除非具有變更屬性許可權的使用者先清除此核取方塊。

    Screenshot that shows the Protect object from accidental deletion option on the Object tab.

  11. 按一下 [ 遠端控制] 索引標籤。

  12. 清除 [ 啟用遠端控制 ] 旗標。 支援人員絕對不需要連線到此帳戶的會話,才能實作修正程式。

    Screenshot that shows the cleared Enable remote control option.

    注意

    Active Directory 中的每個物件都應該有指定的 IT 擁有者和指定的商務擁有者,如 規劃入侵規劃中所述。 如果您要追蹤 Active Directory (中 AD DS 物件的擁有權,而不是外部資料庫) ,您應該在此物件的屬性中輸入適當的擁有權資訊。

    在此情況下,企業擁有者最有可能是 IT 部門,而且企業擁有者也不是 IT 擁有者。 建立物件擁有權的點,是可讓您在需要對物件進行變更時識別連絡人,可能是從初始建立起的年份。

  13. 按一下 [ 組織] 索引 標籤。

  14. 輸入 AD DS 物件標準中所需的任何資訊。

    Screenshot that shows where to enter the information required in your AD DS object standards.

  15. 按一下 [ 撥入] 索引標籤。

  16. 在 [ 網路存取權限 ] 欄位中,選取 [拒絕存取]。此帳戶絕對不需要透過遠端連線進行連線。

    Screenshot that shows the Deny access option.

    注意

    此帳戶不太可能用來登入您環境中的 RODC (唯讀網域控制站) 。 不過,如果情況需要帳戶登入 RODC,您應該將此帳戶新增至拒絕的 RODC 密碼複寫群組,使其密碼不會快取在 RODC 上。

    雖然帳戶的密碼應該在每次使用後重設,但應該停用帳戶,但實作此設定並不會對帳戶造成刪除的影響,而且在系統管理員忘記重設帳戶密碼並加以停用的情況下可能有所説明。

  17. 按一下 [隸屬於] 索引標籤。

  18. 按一下 [新增] 。

  19. 在 [選取使用者、連絡人、電腦] 對話方塊中輸入拒絕的 RODC 密碼複寫群組,然後按一下 [檢查名稱]。 當物件選擇器中群組的名稱加底線時,按一下 [ 確定 ],並確認帳戶現在是下列螢幕擷取畫面中顯示的兩個群組成員。 請勿將帳戶新增至任何受保護的群組。

  20. 按一下 [確定]。

    Screenshot that shows the OK button.

  21. 按一下 [ 安全性] 索引標籤,然後按一下 [ 進階]。

  22. 在 [進階安全性設定] 對話方塊中,按一下 [停用繼承],並將繼承的許可權複製為明確許可權,然後按一下 [新增]。

    Screenshot that shows the Block Inheritence dialog box.

  23. [帳戶的許可權專案] 對話方塊中,按一下 [選取主體 ],然後新增您在上一個程式中建立的群組。 捲動至對話方塊底部,然後按一下 [ 全部清除 ] 以移除所有預設許可權。

    Screenshot that shows the Clear all button.

  24. 捲動至 [ 許可權專案 ] 對話方塊的頂端。 確定 [ 類型 ] 下拉式清單已設定為 [ 允許],然後在 [ 套用至 ] 下拉式清單中,選取 [僅限此物件]。

  25. 在 [ 許可權] 欄位中,選取 [ 讀取所有屬性]、[ 讀取權限] 和 [ 重設密碼]。

    Screenshot that shows the Read all properties, Read permissions, and Reset password options.

  26. 在 [ 屬性] 欄位中,選取 [讀取 userAccountControl ] 和 [寫入 userAccountControl]。

  27. 在 [進階安全性設定] 對話方塊中,再次按一下 [確定]、[確定]。

    Screenshot that shows the OK button in the Advanced Security Settings dialog box.

    注意

    userAccountControl屬性控制多個帳戶組態選項。 當您將寫入權限授與屬性時,無法授與變更部分組態選項的許可權。

  28. 在 [安全性] 索引標籤的 [群組或使用者名稱] 欄位中,移除不應允許存取或管理帳戶的任何群組。 請勿移除任何已設定為拒絕 ACE 的群組,例如 Everyone 群組和 SELF 計算帳戶, (使用者在建立帳戶期間 無法變更密碼 旗標時設定 ACE。 也請勿移除您剛才新增的群組、SYSTEM 帳戶或群組,例如 EA、DA、BA 或Windows授權存取群組。

    Screenshot that shows the Group or user names section on the Security tab.

  29. 按一下 [進階],並確認 [進階安全性設定] 對話方塊看起來類似下列螢幕擷取畫面。

  30. 再次按一下 [確定],然後再次按一下 [確定 ] 以關閉帳戶的屬性對話方塊。

    Screenshot that shows the Advanced Security Settings dialog box.

  31. 第一個管理帳戶的設定現在已完成。 您將在稍後的程式中測試帳戶。

建立其他管理帳戶

您可以重複上述步驟、複製您剛才建立的帳戶,或建立腳本來建立具有所需組態設定的帳戶,以建立其他管理帳戶。 不過請注意,如果您複製剛建立的帳戶,許多自訂設定和 ACL 都不會複製到新的帳戶,而且您必須重複大部分的設定步驟。

您可以改為建立一個群組,以將許可權委派給其中,以填入和取消填入受保護的群組,但您必須保護群組和在其中放置的帳戶。 由於目錄中應該有極少的帳戶授與管理受保護群組成員資格的能力,因此建立個別帳戶可能是最簡單的方法。

無論您選擇如何建立放置管理帳戶的群組,您都應該確保每個帳戶都受到保護,如先前所述。 您也應該考慮實作類似于 附錄 D:保護 Active Directory 中Built-In系統管理員帳戶中所述的GPO 限制。

稽核管理帳戶

您應該在帳戶上設定稽核,以至少記錄帳戶的所有寫入。 這可讓您不只識別帳戶的啟用成功,並在授權使用期間重設其密碼,也可讓您識別未經授權的使用者動作帳戶的嘗試。 帳戶上的失敗寫入應該擷取到您的安全性資訊和事件監視 (SIEM) (系統中,如果適用) ,則應該觸發警示,以向負責調查潛在入侵的人員提供通知。

SIEM 解決方案會從涉及的安全性來源取得事件資訊 (,例如事件記錄檔、應用程式資料、網路串流、反惡意程式碼產品,以及入侵偵測來源) 、定序資料,然後嘗試進行智慧型檢視和主動式動作。 有許多商業 SIEM 解決方案,而許多企業會建立私人實作。 設計良好且適當實作的 SIEM 可以大幅增強安全性監視和事件回應功能。 不過,功能和精確度在解決方案之間有很大的差異。 SIEM 超出本檔的範圍,但任何 SIEM 實作者都應該考慮包含的特定事件建議。

如需網域控制站的建議稽核組態設定詳細資訊,請參閱 監視 Active Directory 以取得入侵徵兆。 監視 Active Directory 中提供網域控制站特定的組態設定 ,以取得入侵的徵兆

啟用管理帳戶以修改受保護群組的成員資格

在此程式中,您將設定網域 AdminSDHolder 物件的許可權,以允許新建立的管理帳戶修改網域中受保護群組的成員資格。 此程式無法透過圖形化使用者介面 (GUI) 來執行。

附錄 C:Active Directory 中的受保護帳戶和群組所述,當 SDProp 工作執行時,網域 AdminSDHolder 物件上的 ACL 實際上會「複製到受保護的物件」。 受保護的群組和帳戶不會從 AdminSDHolder 物件繼承其許可權;其許可權會明確設定為符合 AdminSDHolder 物件上的許可權。 因此,當您修改 AdminSDHolder 物件的許可權時,您必須針對適合您所設定之受保護物件類型的屬性進行修改。

在此情況下,您會授與新建立的管理帳戶,以允許他們讀取和寫入群組物件的成員屬性。 不過,AdminSDHolder 物件不是群組物件,而且不會在圖形化 ACL 編輯器中公開群組屬性。 基於這個理由,您將透過 Dsacls 命令列公用程式實作許可權變更。 若要授與停用 () 管理帳戶許可權以修改受保護群組的成員資格,請執行下列步驟:

  1. 登入網域控制站,最好是擁有 PDC Emulator (PDCE) 角色的網域控制站,以及已成為網域中 DA 群組成員的使用者帳號憑證。

    Screenshot that shows where to enter the credentials for the user account.

  2. 以滑鼠右鍵按一下 [ 命令提示字元] ,然後按一下 [ 以系統管理員身分執行],以開啟提升許可權的命令提示字元。

    Screenshot that shows the Run as administrator menu option.

  3. 當系統提示您核准提高許可權時,請按一下 [ ]。

    Screenshot that shows where to select Yes to approve the elevation.

    注意

    如需有關Windows中提高許可權和使用者帳戶控制 (UAC) 的詳細資訊,請參閱 TechNet 網站上的UAC 程式和互動

  4. 在命令提示字元中,輸入 (取代網域特定資訊,) Dsacls [網域中 AdminSDHolder 物件的辨別名稱] /G [管理帳戶 UPN]:RPWP;member

    Screenshot that shows the command prompt.

    上述命令 (不區分大小寫) 的運作方式如下:

    • Dsacls 會在目錄物件上設定或顯示 ACE

    • CN=AdminSDHolder,CN=System,DC=TailSpinToys,DC=msft 會識別要修改的物件

    • /G 表示正在設定授與 ACE

    • PIM001@tailspintoys.msft 是將授與 ACE 之安全性主體 (UPN) 的使用者主體名稱

    • RPWP 授與讀取屬性和寫入屬性許可權

    • 成員是將設定許可權的屬性 (屬性名稱)

    如需有關使用 Dsacls的詳細資訊,請在命令提示字元中輸入不含任何參數的 Dsacls。

    如果您已為網域建立多個管理帳戶,您應該針對每個帳戶執行 Dsacls 命令。 當您在 AdminSDHolder 物件上完成 ACL 設定時,應該強制執行 SDProp,或等到其排程的執行完成為止。 For information about forcing SDProp to run, see "Running SDProp Manually" in Appendix C: Protected Accounts and Groups in Active Directory.

    當 SDProp 執行時,您可以確認您對 AdminSDHolder 物件所做的變更已套用至網域中的受保護群組。 您無法檢視 AdminSDHolder 物件上的 ACL,因為先前所述的原因,但您可以檢視受保護群組上的 ACL 來確認已套用許可權。

  5. Active Directory 消費者和電腦中,確認您已啟用進階功能。 若要這樣做,請按一下 [檢視],找出 [網域管理員] 群組,以滑鼠右鍵按一下群組,然後按一下 [內容]。

  6. 按一下 [安全性] 索引標籤,然後按一下 [進階] 以開啟 [網域系統管理員] 對話方塊的 [進階安全性設定]。

    Screenshot that shows how to open the Advanced Security Settings for Domain Admins dialog box.

  7. 針對管理帳戶選取 [允許 ACE],然後按一下 [編輯]。 確認帳戶已授與 DA 群組的 [讀取成員 ] 和 [ 寫入成員 ] 許可權,然後按一下 [ 確定]。

  8. 在 [進階安全性設定] 對話方塊中按一下[確定],然後再次按一下 [確定] 以關閉 DA 群組的屬性對話方塊。

    Screenshot that shows how to close the property dialog box.

  9. 您可以針對網域中的其他受保護群組重複上述步驟;所有受保護群組的許可權都應該相同。 您現在已完成建立及設定此網域中受保護群組的管理帳戶。

    注意

    任何有權在 Active Directory 中寫入群組成員資格的帳戶,也可以將本身新增至群組。 此行為依設計而無法停用。 基於這個理由,您應該一律在未使用時將管理帳戶停用,而且應該在停用時和正在使用時密切監視帳戶。

驗證群組和帳戶組態設定

既然您已建立並設定管理帳戶,這些帳戶可以修改網域中受保護群組的成員資格, (其中包含最具特殊許可權的 EA、DA 和 BA 群組) ,您應該確認帳戶及其管理群組已正確建立。 驗證封裝含下列一般工作:

  1. 測試可啟用和停用管理帳戶的群組,以確認群組的成員可以啟用和停用帳戶並重設其密碼,但無法在管理帳戶上執行其他系統管理活動。

  2. 測試管理帳戶,以確認他們可以將成員新增和移除至網域中的受保護群組,但無法變更受保護帳戶和群組的任何其他屬性。

測試將啟用和停用管理帳戶的群組
  1. 若要測試啟用管理帳戶並重設其密碼,請使用您在 附錄 I:在 Active Directory 中建立受保護帳戶和群組的管理帳戶成員的帳戶登入安全系統管理工作站。

    Screenshot that shows how to log in to the account that is a member of the group you created.

  2. 開啟Active Directory 消費者和電腦,以滑鼠右鍵按一下管理帳戶,然後按一下 [啟用帳戶]。

    Screenshot that highlights the Enable Account menu option.

  3. 對話方塊應該會顯示,確認帳戶已啟用。

    Screenshot that shows that the account has been enabled.

  4. 接下來,在管理帳戶上重設密碼。 若要這樣做,請再次以滑鼠右鍵按一下帳戶,然後按一下 [ 重設密碼]。

    Screenshot that highlights the Reset Password menu option.

  5. 在 [ 新增密碼 ] 和 [ 確認密碼 ] 欄位中輸入帳戶的新密碼,然後按一下 [ 確定]。

    Screenshot that shows where to type the new password.

  6. 應該會出現一個對話方塊,確認帳戶的密碼已經重設。

    Screenshot that shows the message confirming that the password for the account has been reset.

  7. 現在嘗試修改管理帳戶的其他屬性。 以滑鼠右鍵按一下帳戶,然後按一下 [ 屬性],然後按一下 [ 遠端控制] 索引標籤。

  8. 選取 [啟用遠端控制 ],然後按一下 [ 套用]。 作業應該會失敗,而且應該會顯示 拒絕存取 的錯誤訊息。

    Screenshot that shows the Access Denied error.

  9. 按一下帳戶的 [ 帳戶 ] 索引標籤,然後嘗試變更帳戶的名稱、登入時數或登入工作站。 所有應該都會失敗,而且 未受 userAccountControl 屬性控制的帳戶選項應該呈現灰色,且無法進行修改。

    Screenshot that shows the Account tab.

  10. 嘗試將管理群組新增至受保護的群組,例如 DA 群組。 當您按一下 [ 確定] 時,應該會出現一則訊息,通知您沒有修改群組的許可權。

    Screenshot that shows the message informing you that you do not have permission to modify the group.

  11. 視需要執行其他測試,以確認您無法在管理帳戶上設定任何專案,但 userAccountControl 設定和密碼重設除外。

    注意

    userAccountControl屬性可控制多個帳戶組態選項。 當您將寫入權限授與屬性時,您無法授與變更部分組態選項的許可權。

測試管理帳戶

現在您已啟用一或多個可變更受保護群組成員資格的帳戶,您可以測試帳戶以確保這些帳戶可以修改受保護的群組成員資格,但無法對受保護的帳戶和群組執行其他修改。

  1. 以第一個管理帳戶身分登入安全的系統管理主機。

    Screenshot that shows how to log in to a secure administrative host.

  2. 啟動Active Directory 消費者和電腦並找出Domain Admins 群組

  3. 以滑鼠右鍵按一下 [網域管理員] 群組,然後按一下 [ 內容]。

    Screenshot that highlights the Properties menu option.

  4. 在 [ 網域管理員內容]中,按一下 [ 成員 ] 索引標籤 ,然後按一下 [ 新增]。 輸入將給予暫存網域管理員許可權的帳戶名稱,然後按一下 [ 檢查名稱]。 當帳戶的名稱加上底線時,按一下 [ 確定 ] 返回 [ 成員 ] 索引標籤。

    Screenshot that shows where to add the name of the account that will be given temporary Domain Admins privileges.

  5. 在 [網域管理員內容] 對話方塊的 [成員]索引標籤上,按一下 [套用]。 按一下 [ 套用] 之後,帳戶應該會保留 DA 群組的成員,您應該不會收到錯誤訊息。

    Screenshot that shows the Members tab in the Domain Admins Properties dialog box.

  6. 按一下 [網域管理員內容] 對話方塊中的 [管理依據] 索引標籤,並確認您無法在任何欄位中輸入文字,且所有按鈕都呈現灰色。

    Screenshot that shows the Managed By tab.

  7. 按一下 [網域管理員內容] 對話方塊中的 [一般] 索引標籤,並確認您無法修改該索引標籤的任何資訊。

    creating management accounts

  8. 視需要針對其他受保護的群組重複這些步驟。 完成後,請使用您建立的群組成員帳戶登入安全系統管理主機,以啟用和停用管理帳戶。 然後在您剛才測試的管理帳戶上重設密碼,並停用帳戶。 您已完成管理帳戶的設定,以及將負責啟用和停用帳戶的群組。