Active Directory 帳戶
Windows Server 作業系統會隨著預設本機帳戶安裝。 此外,您可以建立使用者帳戶以符合您的組織需求。
本參考文章描述儲存在網域控制站上本機且用於 Active Directory 的 Windows Server 預設本機帳戶。 它不會描述成員、獨立伺服器或 Windows 用戶端的預設本機使用者帳戶。 如需詳細資訊,請參閱本機帳戶。
Active Directory 中的預設本機帳戶
預設本機帳戶是內建帳戶,其會在安裝 Windows Server 網域控制站並建立網域時自動建立。 這些預設本機帳戶在 Active Directory 中具有對應項目。 它們也有全網域的存取權,而且與成員或獨立伺服器的預設本機使用者帳戶完全分開。
您可以將權利與權限指派給特定網域控制站上的預設本機帳戶,而且僅限於該網域控制站上。 這些帳戶是網域的本機帳戶。 安裝預設本機帳戶之後,它們會儲存在 Active Directory 使用者和電腦的使用者容器中。 最佳做法是將預設本機帳戶保留在使用者容器中,而不會嘗試將這些帳戶移至不同的組織單位 (OU) (舉例來說)。
使用者容器中的預設本機帳戶包括:系統管理員、來賓和 KRBTGT。 HelpAssistant 帳戶會在建立遠端協助工作階段時安裝。 下列各節描述預設本機帳戶及其在 Active Directory 中的使用方式。
預設本機帳戶會執行下列動作:
讓網域使用唯一認證 (使用者名稱和密碼) 來代表、識別及驗證指派給帳戶的使用者身分識別。 最佳做法是將每個使用者指派給單一帳戶,以確保最大的安全性。 不允許多個使用者共用一個帳戶。 使用者帳戶可讓使用者使用可由電腦、網路或網域驗證的唯一識別碼登入電腦、網路和網域。
授權 (授與或拒絕) 資源的存取權。 在使用者認證經過驗證之後,根據使用者獲明確指派資源的權限,使用者就會獲得存取網路和網域資源。
稽核在使用者帳戶上執行的動作。
在 Active Directory 中,系統管理員會使用預設的本機帳戶,直接和從專用系統管理工作站管理網域和成員伺服器。 Active Directory 帳戶可提供網路資源的存取權。 Active Directory 使用者帳戶和電腦帳戶可以代表實體實體,例如電腦或人員,或做為某些應用程式的專用服務帳戶。
每個預設本機帳戶都會自動指派給預先設定適當權利與權限來執行特定工作的安全性群組。 Active Directory 安全性群組會將使用者帳戶、電腦帳戶和其他群組收集成可管理的單位。 如需詳細資訊,請參閱 Active Directory 安全性群組。
在 Active Directory 網域控制站上,每個預設本機帳戶稱為安全性主體。 安全性主體是一個目錄物件,用來保護和管理提供網域控制站資源存取權的 Active Directory 服務。 安全性主體包含物件,例如使用者帳戶、電腦帳戶、安全性群組,或在使用者或電腦帳戶安全性內容中執行的執行緒或程序。 如需詳細資訊,請參閱安全性主體。
安全性主體是由唯一安全性識別碼 (SID) 表示。 後續幾節將描述與 Active Directory 中每個預設本機帳戶相關的 SID。
某些預設本機帳戶會受到背景程序所保護,其會定期檢查並套用特定安全性描述元。 安全性描述元是資料結構,其包含與受保護物件相關聯的安全性資訊。 此程序可確保修改其中一個預設本機帳戶或群組上的安全性描述元的任何成功的未經授權嘗試,都會使用受保護的設定來覆寫。
此安全性描述元存在於 AdminSDHolder 物件上。 如果您想要修改其中一個服務系統管理員群組或其任何成員帳戶上的權限,您必須修改 AdminSDHolder 物件上的安全性描述元,以確保其一致套用。 進行這些修改時請小心,因為您也會變更套用至所有受保護帳戶的預設設定。
系統管理員帳戶
系統管理員帳戶是預設帳戶,用於每部電腦和裝置上的所有 Windows 作業系統版本。 系統管理員會使用系統管理員帳戶來執行需要系統管理認證的工作。 無法刪除或鎖定此帳戶,但可以重新命名或停用該帳戶。
系統管理員帳戶為使用者提供該本機伺服器上的檔案、目錄、服務和其他資源的完整存取權 (完全控制權限)。 系統管理員帳戶可用來建立本機使用者,以及指派使用者權利和存取控制權限。 只要變更使用者權利與權限,帳戶隨時都可以用來控制本機資源。 雖然檔案和目錄可以暫時透過系統管理員帳戶保護,但帳戶可以隨時透過變更存取權限來控制這些資源。
帳戶群組成員資格
系統管理員帳戶具有預設安全性群組的成員資格,如本文稍後的系統管理員帳戶屬性資料表所述。
安全性群組可確保您可以控制系統管理員權限,而不需要變更每個系統管理員帳戶。 在大部分情況下,您不需要變更此帳戶的基本設定。 不過,您可能必須變更其進階設定,例如特定群組的成員資格。
安全性考量
安裝伺服器作業系統之後,您的第一項工作是安全地設定系統管理員帳戶屬性。 這包括設定特別長的強式密碼,以及保護遠端控制和遠端桌面服務設定檔設定。
不需要系統管理員帳戶時也可以停用。 重新命名或停用系統管理員帳戶可讓惡意使用者更難以嘗試取得帳戶的存取權。 不過,當系統管理員帳戶停用時,仍然可使用安全模式使用該帳戶取得網域控制站的存取權。
在網域控制站上,系統管理員帳戶會變成網域系統管理員帳戶。 網域系統管理員帳戶是用來登入網域控制站,而且此帳戶需要強式密碼。 網域系統管理員帳戶可讓您存取網域資源。
注意
一開始安裝網域控制站時,您可以登入並使用伺服器管理員來設定本機系統管理員帳戶,使其具備您想要指派的權利與權限。 例如,當您第一次安裝作業系統時,可以使用本機系統管理員帳戶來管理作業系統。 藉由使用此方法,您可以設定作業系統,而不會遭到鎖定。一般而言,安裝之後您便不需要使用該帳戶。 您只能在安裝 Active Directory Domain Services 之前 (而不是之後),在網域控制站上建立本機使用者帳戶。
在網域中的第一個網域控制站上安裝 Active Directory 時,會為 Active Directory 建立系統管理員帳戶。 系統管理員帳戶是網域中功能最強大的帳戶。 它提供全網域存取權和系統管理權限來管理電腦和網域,而且具有網域上最廣泛的權利與權限。 在電腦上安裝 Active Directory Domain Services 的人員,會在安裝期間建立此帳戶的密碼。
系統管理員帳戶屬性
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-<domain> -500 |
類型 | 使用者 |
預設容器 | CN=Users, DC=<domain> , DC= |
預設成員 | N/A |
下列群組的預設成員 | 系統管理員、網域系統管理員、企業系統管理員、網域使用者 (所有使用者帳戶的主要群組識別碼為網域使用者) Active Directory 網域使用者群組中的群組原則建立者擁有者和結構描述系統管理員 |
是否受到 ADMINSDHOLDER 保護? | Yes |
是否可從預設容器放心地移出? | Yes |
是否可將此群組的管理安全地委派給非服務系統管理員? | No |
來賓帳戶
來賓帳戶是預設的本機帳戶,其具有電腦的有限存取權,且預設為停用。 預設會將來賓帳戶密碼保留空白。 空白密碼會允許來賓帳戶存取,而不會要求使用者輸入密碼。
來賓帳戶可讓在電腦上沒有個別帳戶的不定期或一次性使用者,以受限的權限登入本機伺服器或網域。 可以啟用來賓帳戶,並視需要設定密碼,但只能由網域上的系統管理員群組成員設定。
來賓帳戶群組成員資格
來賓帳戶具有預設安全性群組的成員資格,如下列來賓帳戶屬性資料表所述。 依預設,來賓帳戶是預設來賓群組的唯一成員,可讓使用者登入伺服器,以及可讓使用者登入網域的網域來賓全域群組。
系統管理員群組或網域系統管理員群組的成員可以設定在一或多部電腦上具有來賓帳戶的使用者。
來賓帳戶安全性考量
因為來賓帳戶可以提供匿名存取,所以有安全性風險。 它也具有已知的 SID。 基於這個理由,最佳做法是停用來賓帳戶,除非其用途是必要的,那麼只會具有受限的權利與權限達一段非常有限的時間。
需要來賓帳戶時,需要網域控制站上的系統管理員才能啟用來賓帳戶。 可以啟用來賓帳戶,而不需要密碼,也可以啟用它並使用強式密碼。 系統管理員也會為來賓帳戶授與受限的權利與權限。 若要協助防止未經授權的存取:
請勿將關閉系統使用者權限授與來賓帳戶。 當電腦關閉或啟動時,來賓使用者或具有本機存取權的任何人,例如惡意使用者,可能會取得電腦未經授權的存取。
請勿為來賓帳戶提供檢視事件記錄的能力。 啟用來賓帳戶之後,最佳做法是經常監視此帳戶,以確保其他使用者無法使用服務和其他資源,例如先前的使用者無意中留下的資源。
當伺服器具有外部網路存取權或其他電腦的存取權時,請勿使用來賓帳戶。
如果您決定啟用來賓帳戶,請務必限制其使用,並定期變更密碼。 如同系統管理員帳戶,您可能想要將帳戶重新命名,做為增加安全性的預防措施。
此外,系統管理員會負責管理來賓帳戶。 系統管理員會監視來賓帳戶、在不再使用來賓帳戶時加以停用,並視需要變更或移除密碼。
如需來賓帳戶屬性的詳細資料,請參閱下表:
來賓帳戶屬性
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-<domain> -501 |
類型 | 使用者 |
預設容器 | CN=Users, DC=<domain> , DC= |
預設成員 | 無 |
下列群組的預設成員 | 來賓、網域來賓 |
是否受到 ADMINSDHOLDER 保護? | No |
是否可從預設容器放心地移出? | 可以移出,但我們不建議這麼做。 |
是否可將此群組的管理安全地委派給非服務系統管理員? | No |
HelpAssistant 帳戶 (隨著遠端協助工作階段安裝)
HelpAssistant 帳戶是執行遠端協助工作階段時啟用的預設本機帳戶。 如果沒有擱置中的遠端協助要求,則會自動停用此帳戶。
HelpAssistant 是用來建立遠端協助工作階段的主要帳戶。 遠端協助工作階段可用來連線到執行 Windows 作業系統的另一部電腦,並透過邀請起始。 針對請求的遠端協助,使用者會透過電子郵件或檔案,從其電腦傳送邀請給可以提供協助的人員。 接受使用者針對遠端協助工作階段的邀請之後,系統會自動建立預設的 HelpAssistant 帳戶,以便為提供協助的人員提供電腦有限的存取權。 HelpAssistant 帳戶由「遠端桌面說明工作階段管理員」服務所管理。
HelpAssistant 安全性考量
與預設 HelpAssistant 帳戶相關的 SID 包括:
SID:S-1-5-
<domain>
-13,顯示名稱終端機伺服器使用者。 此群組包含所有登入已啟用遠端桌面服務伺服器的使用者。 在 Windows Server 2008 中,遠端桌面服務稱為終端機服務。SID:S-1-5-
<domain>
-14,顯示名稱遠端互動式登入。 此群組包含使用遠端桌面連線來連線到電腦的所有使用者。 此群組是互動式群組的子集。 包含遠端互動式登入 SID 的存取權杖也包含互動式 SID。
針對 Windows Server 作業系統,遠端協助是預設不會安裝的選用元件。 您必須先安裝遠端協助,才能使用它。
如需 HelpAssistant 帳戶屬性的詳細資料,請參閱下表:
HelpAssistant 帳戶屬性
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-<domain> -13 (終端機伺服器使用者),S-1-5-<domain> -14 (遠端互動式登入) |
類型 | 使用者 |
預設容器 | CN=Users, DC=<domain> , DC= |
預設成員 | 無 |
下列群組的預設成員 | 網域來賓 來賓 |
是否受到 ADMINSDHOLDER 保護? | No |
是否可從預設容器放心地移出? | 可以移出,但我們不建議這麼做。 |
是否可將此群組的管理安全地委派給非服務系統管理員? | No |
KRBTGT 帳戶
KRBTGT 帳戶是本機預設帳戶,做為金鑰發佈中心 (KDC) 服務的服務帳戶。 無法刪除此帳戶,且無法變更帳戶名稱。 無法在 Active Directory 中啟用 KRBTGT 帳戶。
KRBTGT 也是 KDC 針對 Windows Server 網域使用的安全性主體名稱,如 RFC 4120 所指定。 KRBTGT 帳戶是 KRBTGT 安全性主體的實體,且會在建立新網域時自動建立。
Windows Server Kerberos 驗證是透過使用對稱金鑰加密的特殊 Kerberos 票證授與票證 (TGT) 來達成。 此金鑰衍生自要求存取的伺服器或服務的密碼。 只有 Kerberos 服務才知道 KRBTGT 帳戶的 TGT 密碼。 若要要求工作階段票證,必須將 TGT 出示給 KDC。 TGT 會從 KDC 核發給 Kerberos 用戶端。
KRBTGT 帳戶維護考量
系統會為 KRBTGT 和信任帳戶自動指派強式密碼。 如同任何特殊權限的服務帳戶,組織應該定期變更這些密碼。 KDC 帳戶的密碼會用來衍生祕密金鑰,以加密和解密所核發的 TGT 要求。 網域信任帳戶的密碼會用來衍生用於加密轉介票證的網域間金鑰。
重設密碼要求您是網域系統管理員群組的成員,或已獲委派適當的授權。 此外,您必須是本機系統管理員群組的成員,或已獲委派適當的授權。
重設 KRBTGT 密碼之後,請確保 (Kerberos) Key-Distribution-Center 事件來源中的事件識別碼 9 會寫入系統事件記錄。
KRBTGT 帳戶安全性考量
重設 KRBTGT 帳戶密碼也是最佳做法,以確保新還原的網域控制站不會被使用遭入侵的網域控制站進行複寫。 在此情況下,在分散於多個位置的大型樹系復原中,您無法保證所有網域控制站都會關閉,且如果已關閉,無法在執行所有適當的復原步驟之前將它們再次重新啟動。 重設 KRBTGT 帳戶之後,另一個網域控制站無法使用舊密碼來複寫此帳戶密碼。
懷疑 KRBTGT 帳戶網域遭到入侵的組織應考量使用專業事件回應服務。 還原帳戶擁有權的影響是全網域、需要大量人力,而且應做為較大復原工作的一部分進行。
KRBTGT 密碼是 Kerberos 中所有信任所連結的金鑰。 重設 KRBTGT 密碼類似於使用新的金鑰來更新根 CA 憑證,並立即不信任舊金鑰,導致幾乎所有後續的 Kerberos 作業都會受到影響。
針對所有帳戶類型 (使用者、電腦和服務)
所有已核發和散發的 TGT 都將無效,因為 DC 會拒絕它們。 這些票證會使用 KRBTGT 加密,因此任何 DC 都可以驗證它們。 當密碼變更時,票證會變得無效。
在需要重新驗證服務票證之前,已登入使用者對資源 (例如檔案共用、SharePoint 網站或 Exchange Server) 建立的所有目前已驗證工作階段 (根據其服務票證) 都正常。
NTLM 驗證的連線不會受到影響。
由於無法預測將對生產作業環境中任何指定使用者發生的特定錯誤,因此您必須假設所有電腦和使用者都會受到影響。
重要
重新啟動電腦是復原功能的唯一可靠方式,因為這樣做會導致電腦帳戶和使用者帳戶再次登入。 再次登入將會要求對新 KRBTGT 有效的新 TGT,這會更正該電腦上任何與 KRBTGT 相關的作業問題。
唯讀網域控制站和 KRBTGT 帳戶
Windows Server 2008 引進了唯讀網域控制站 (RODC)。 RODC 會通告為分公司的金鑰發佈中心 (KDC)。 當 RODC 簽署或加密票證授與票證 (TGT) 要求時,會使用與可寫入網域控制站上的 KDC 不同的 KRBTGT 帳戶與密碼。 成功驗證帳戶之後,RODC 會決定使用者的認證或電腦的認證是否可以使用密碼複寫原則,從可寫入網域控制站複寫到 RODC。
在 RODC 上快取認證之後,RODC 可以接受該使用者的登入要求,直到認證變更為止。 在使用 RODC 的 KRBTGT 帳戶簽署 TGT 時,RODC 會辨識其具有認證的快取複本。 如果 TGT 是由其他網域控制站簽署,則 RODC 會將要求轉送至可寫入的網域控制站。
KRBTGT 帳戶屬性
如需 KRBTGT 帳戶屬性的詳細資料,請參閱下表:
屬性 | 值 |
---|---|
已知的 SID/RID | S-1-5-<domain> -502 |
類型 | 使用者 |
預設容器 | CN=Users, DC=<domain> , DC= |
預設成員 | 無 |
下列群組的預設成員 | 網域使用者群組 (所有使用者帳戶的主要群組識別碼為網域使用者) |
是否受到 ADMINSDHOLDER 保護? | Yes |
是否可從預設容器放心地移出? | 可以移出,但我們不建議這麼做。 |
是否可將此群組的管理安全地委派給非服務系統管理員? | No |
Active Directory 中預設本機帳戶的設定
Active Directory 中的每個預設本機帳戶都有數個帳戶設定,可用來設定密碼設定和安全性特定資訊,如下表所述:
帳戶設定 | 描述 |
---|---|
使用者必須在下次登入時變更密碼 | 強制使用者下次登入網路時變更密碼。 當您想要確保使用者是唯一知道其密碼的人員時,請使用此選項。 |
使用者無法變更密碼 | 防止使用者變更密碼。 如果要維護對使用者帳戶 (如來賓或暫時性帳戶) 的控制權,請使用此選項。 |
密碼永不過期 | 讓使用者密碼不會過期。 最佳做法是使用服務帳戶啟用此選項,並使用強式密碼。 |
使用可還原的加密來存放密碼 | 為使用的通訊協定針對驗證目的需要知道純文字格式使用者密碼的應用程式提供支援。 在網際網路驗證服務 (IAS) 中使用挑戰交握驗證通訊協定 (CHAP),以及在 Internet Information Services (IIS) 中使用摘要式驗證時,需要此選項。 |
帳戶已停用 | 防止使用者使用選取的帳戶登入。 身為系統管理員,您可以使用停用的帳戶做為一般使用者帳戶的範本。 |
互動式登入必須使用智慧卡 | 要求使用者具有智慧卡,才能以互動方式登入網路。 使用者也必須將智慧卡讀卡機連接到電腦,且智慧卡必須具備有效的個人識別碼 (PIN)。 在帳戶上套用此屬性時,效果如下: |
帳戶受信任可以委派 | 讓在此帳戶下執行的服務代表網路上的其他使用者帳戶執行操作。 在受信任可以委派的使用者帳戶 (亦稱為服務帳戶) 下執行的服務,可在服務執行所在的電腦或其他電腦上模擬用戶端對資源取得存取權。 例如,在設定為 Windows Server 2003 功能層級的樹系中,此設定可在 [委派] 索引標籤上找到。它僅適用於已獲指派服務主體名稱 (SPN) 的帳戶,其是使用 Windows 支援工具的 setspn 命令設定。 此設定對安全性敏感,因此應謹慎指派。 |
帳戶具敏感性,因此無法委派 | 提供對使用者帳戶的控制,例如來賓帳戶或暫時性帳戶。 如果無法將此帳戶指派供另一個帳戶委派,則可以使用此選項。 |
這個帳戶需要使用 DES 加密類型 | 提供資料加密標準 (DES) 的支援。 DES 支援多種層級的加密,包括 Microsoft 點對點加密 (MPPE) 標準 (40 位元和 56 位元)、MPPE 標準 (56 位元)、MPPE 增強式 (128 位元)、網際網路通訊協定安全性 (IPSec) DES (40 位元)、IPSec 56 位元 DES 與 IPSec 三重 DES (3DES)。 |
不需要 Kerberos 預先驗證 | 提供 Kerberos 通訊協定替代實作的支援。 因為預先驗證提供額外的安全性,因此當您啟用此選項時請小心。 執行 Windows 2000 或 Windows Server 2003 的網域控制站可以使用其他機制來同步時間。 |
注意
Windows Server 作業系統 (從 Windows Server 2008 R2 開始) 或 Windows 用戶端作業系統 (從 Windows 7 開始) 中預設不會啟用 DES。 針對這些作業系統,電腦預設不會使用 DES-CBC-MD5 或 DES-CBC-CRC 加密套件。 如果您的環境需要 DES,此設定可能會影響您環境中用戶端電腦或服務與應用程式的相容性。
如需詳細資訊,請參閱搜捕 DES 以安全地部署 Kerberos。
在 Active Directory 中管理預設本機帳戶
安裝預設本機帳戶之後,這些帳戶會位在 Active Directory 使用者和電腦的使用者容器中。 您可以使用 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 和命令列工具來建立、停用、重設及刪除預設本機帳戶。
您可以使用 Active Directory 使用者和電腦,在指定的本機網域控制站上指派權利與權限,具僅限於該網域控制站,以限制本機使用者和群組執行特定動作的能力。 權利可授權使用者在電腦上執行某些動作,例如備份檔案及資料夾或關閉電腦。 相較之下,存取權限是與物件 (通常是檔案、資料夾或印表機) 相關聯的規則,其會規定哪些使用者具有該物件的存取權,以及以何種方式存取。
如需在 Active Directory 中建立及管理本機使用者帳戶的詳細資訊,請參閱管理本機使用者。
您也可以使用網域控制站上的 Active Directory 使用者和電腦,以非網路上網域控制站的遠端電腦為目標。
您可以使用安全性合規性管理員 (SCM) 工具,從 Microsoft 取得網域控制站設定的建議以供散發。 如需詳細資訊,請參閱 Microsoft 安全性合規性管理員。
某些預設本機使用者帳戶會使用背景程序保護,其會定期檢查並套用特定的安全性描述元,這是包含與受保護物件相關聯的安全性資訊的資料結構。 此安全性描述元存在於 AdminSDHolder 物件上。
這表示當您想要修改服務系統管理員群組或其任何成員帳戶上的權限時,您也必須修改 AdminSDHolder 物件上的安全性描述元。 此方法可確保一致地套用權限。 當您進行這些修改時請小心,因為此動作也會影響套用至您的所有受保護系統管理帳戶的預設設定。
限制和保護敏感性網域帳戶
限制和保護網域環境中的網域帳戶需要您採用並實作下列最佳做法方法:
嚴格限制系統管理員、網域系統管理員和企業系統管理員群組的成員資格。
嚴格控制使用網域帳戶的位置和方式。
網域或樹系中系統管理員、網域系統管理員和企業系統管理員群組中的成員帳戶是惡意使用者的高價值目標。 若要限制任何曝光,最佳做法是將這些系統管理員群組的成員資格嚴格限制到最少量的帳戶數目。 限制這些群組中的成員資格可減少系統管理員不小心誤用這些認證並建立惡意使用者可能惡意探索弱點的可能性。
此外,最佳做法是嚴格控制使用敏感性網域帳戶的位置和方式。 限制使用網域系統管理員帳戶和其他系統管理員帳戶,以防止將它們用來登入以管理與受控系統處於相同層級保護的系統和工作站。 當系統管理員帳戶未使用此方式限制時,網域系統管理員從中登入的每個工作站都會提供惡意使用者可惡意探索的另一個位置。
實作這些最佳做法會分成下列工作:
為了提供預期有網域環境整合挑戰的情況,每個工作都會根據需求來描述,以獲得最低、更好且理想的實作。 如同對生產環境的所有重大變更,請確保在實作和部署這些變更之前徹底測試這些變更。 然後,以允許在發生技術問題時復原變更的方式暫存部署。
將系統管理員帳戶與使用者帳戶分開
限制網域系統管理員帳戶和其他敏感性帳戶,以防止他們被用來登入較低的信任伺服器和工作站。 藉由將系統管理員帳戶與標準使用者帳戶隔離、將系統管理職責與其他工作分開,以及限制使用這些帳戶,來限制及保護系統管理員帳戶。 根據下列指導方針,為需要系統管理員認證才能執行特定系統管理工作的系統管理人員建立專用帳戶,然後針對其他標準使用者工作建立個別帳戶:
特殊權限帳戶:配置系統管理員帳戶,以只執行下列系統管理職責:
最低:為網域系統管理員、企業系統管理員或網域或樹系中適當系統管理員權限的同等帳戶建立個別帳戶。 僅使用已獲授與敏感性系統管理員權限的帳戶來管理網域資料和網域控制站。
更好:為具有縮減系統管理權限的系統管理員建立個別帳戶,例如工作站系統管理員的帳戶,以及對指定 Active Directory 組織單位 (OU) 具有使用者權限的帳戶。
理想:為具有需要不同信任層級工作職責的系統管理員建立多個個別帳戶。 設定讓每個系統管理員帳戶具有不同的使用者權限,例如用於工作站系統管理、伺服器管理和網域管理,以讓系統管理員嚴格根據其工作責任,登入指定的工作站、伺服器和網域控制站。
標準使用者帳戶:授與標準使用者工作的權限,例如,電子郵件、Web 瀏覽,以及使用企業營運 (LOB) 應用程式。 這些帳戶不應被授與系統管理員權限。
重要
確保敏感性系統管理員帳戶無法存取電子郵件或瀏覽網際網路,如下一節所述。
若要深入了解特殊權限存取,請參閱特殊權限存取裝置。
限制系統管理員對伺服器和工作站的登入存取
最佳做法是限制系統管理員使用敏感性系統管理員帳戶來登入較低信任的伺服器和工作站。 此限制可防止系統管理員藉由登入較低信任的電腦,不慎增加認證竊取的風險。
重要
確保您具有網域控制站的本機存取權,或已建置至少一個專用的系統管理工作站。
使用下列指導方針來限制對較低信任伺服器和工作站的登入存取:
最低:限制網域系統管理員,使其不具備伺服器和工作站的登入存取。 開始此程序之前,請先識別包含工作站和伺服器的網域中的所有 OU。 OU 中未識別的任何電腦都不會限制具有敏感性帳戶的系統管理員登入它們。
更好:限制來自非網域控制器伺服器和工作站的網域系統管理員。
理想:除了網域系統管理員之外,限制伺服器系統管理員登入工作站。
注意
針對此程序,請勿將帳戶連結至包含僅執行系統管理職責的系統管理員工作站的 OU,也不要提供網際網路或電子郵件存取。
限制來自工作站的網域系統管理員 (最低)
以網域系統管理員身分開啟群組原則管理主控台 (GPMC)。
開啟 [群組原則管理],展開 <forest>\Domains\
<domain>
。在 [群組原則物件] 上按一下滑鼠右鍵,然後選取 [新增]。
在 [新增 GPO] 視窗中,將限制系統管理員登入工作站的 GPO 命名,然後選取 [確定]。
在 [新增 GPO] 上按一下滑鼠右鍵,然後選取 [編輯]。
設定使用者權限以拒絕網域系統管理員在本機登入。
選取 [電腦設定] > [原則] > [Windows 設定] > [本機原則],選取 [使用者權限指派],然後執行下列動作:
a. 按兩下 [拒絕本機登入],然後選取 [定義這些原則設定]。 b. 選取 [新增使用者或群組],選取 [瀏覽],輸入企業系統管理員,然後選取 [確定]。c. 選取 [新增使用者或群組],選取 [瀏覽],輸入 [網域系統管理員],然後選取 [確定]。
提示
您可以選擇性地新增任何群組,其中包含您想要限制登入工作站的伺服器系統管理員。
注意
完成此步驟可能會導致系統管理員工作的問題,這些工作是使用網域系統管理員群組中的帳戶以排程的工作或服務形式執行。 使用網域系統管理員帳戶在工作站上執行服務和工作的做法會造成認證竊取攻擊的重大風險,因此,應該以執行排程的工作或服務的替代方式取代。
d. 選取 [確定] 以完成設定。
將 GPO 連結至第一個工作站 OU。 移至 <forest>\Domains\
<domain>
\OU 路徑,然後執行下列動作:a. 以滑鼠右鍵按一下工作站 OU,然後選取 [連結現有的 GPO]。
b. 選取您剛才建立的 GPO,然後選取 [確定]。
在第一個 OU 的工作站上測試企業應用程式的功能,並解決新原則所導致的任何問題。
連結包含工作站的其他所有 OU。
不過,如果系統管理工作站 OU 是針對專用於系統管理職責且沒有網際網路或電子郵件存取權的系統管理工作站所建立,請勿建立其連結。
重要
如果您稍後延伸此解決方案,請勿拒絕網域使用者群組的登入權限。 網域使用者群組包含網域中的所有使用者帳戶,包括使用者、網域管理員和企業系統管理員。
停用敏感性系統管理員帳戶的帳戶委派權限
雖然使用者帳戶預設不會標示為委派,但可以信任 Active Directory 網域中的帳戶以進行委派。 這表示受信任可進行委派的服務或電腦,可以模擬向它們進行驗證的帳戶,以存取網路上的其他資源。
對於敏感性帳戶,例如屬於 Active Directory 中系統管理員、網域系統管理員或企業系統管理員群組成員的帳戶,委派可能代表的是權限提升的重大風險。 例如,如果網域系統管理員群組中的帳戶用來登入受信任可進行委派的遭入侵成員伺服器,則該伺服器可以在網域系統管理員帳戶的內容中要求存取資源,並將該成員伺服器的入侵呈報至網域入侵。
最佳做法是設定所有敏感性帳戶使用者物件,方法是在 Active Directory 中選取 [帳戶選項] 底下的 [這是機密帳戶,無法委派] 核取方塊,以防止委派帳戶。 如需詳細資訊,請參閱 Active Directory 中預設本機帳戶的設定。
如同任何設定變更,請完全測試此啟用的設定,以在實作之前確保它可正確執行。
保護和管理網域控制站
最佳做法是在環境中的網域控制站上嚴格強制執行限制。 這可確保網域控制站:
- 只執行必要的軟體。
- 要求定期更新軟體。
- 使用適當的安全性設定進行設定。
保護和管理網域控制站的其中一個層面是要確保預設本機使用者帳戶受到完全保護。 限制及保護所有敏感性網域帳戶非常重要,如前幾節所述。
因為網域控制站會將網域中所有帳戶的認證密碼雜湊儲存在網域中,它們是惡意使用者的高價值目標。 當網域控制站未受到妥善管理且受到嚴格強制執行的限制保護時,可能會遭到惡意使用者入侵。 例如,惡意使用者可能會從一個網域控制站竊取敏感性網域系統管理員認證,然後使用這些認證來攻擊網域和樹系。
此外,網域控制站上安裝的應用程式和管理代理程式可能會路徑以取得升級權限,惡意使用者可用其來危害該服務的管理服務或系統管理員。 您的組織用來管理網域控制站及其系統管理員的管理工具和服務,對於網域控制站和網域系統管理員帳戶的安全性同樣重要。 確保這些服務和系統管理員以相同功能加以完全保護。