共用方式為

附錄 E︰保護 Active Directory 中的 Enterprise Admins 群組

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附錄 E︰保護 Active Directory 中的 Enterprise Admins 群組

位於樹系根網域內的 Enterprise Admins (EA) 群組每一天都不應該包含任何使用者,但根域系統管理員帳戶例外,前提是其受到保護,如附錄 D:保護 Active Directory 中的內建系統管理員帳戶中所述。

根據預設,Enterprise Admins 是樹系中每個網域的 Administrator 群組的成員。 您不應該從每個網域的 Administrator 群組中移除 EA 群組,因為在發生樹系災害復原案例時,可能需要 EA 權限。 樹系的 Enterprise Admins 群組都應該受到保護,如後續的逐步指示中所述。

針對樹系中 Enterprise Admins 群組的成員:

  1. 在連結至 OU 的 GPO 中 (OU 包含每個網域的成員伺服器和工作站),Enterprise Admins 群組應該新增至[電腦設定\原則\Windows 設定\安全性設定\本機原則\使用者權限指派]中的下列使用者權限:

    • 拒絕從網路存取這台電腦

    • 拒絕以批次工作登入

    • 拒絕以服務方式登入

    • 拒絕本機登入

    • 拒絕透過遠端桌面服務登入

  2. 如果對 Enterprise Admins 群組的屬性或成員資格進行了任何修改,請設定稽核以傳送警示。

從 Enterprise Admins 群組移除所有成員的逐步指示

  1. [伺服器管理員] 中,依序按一下[工具][Active Directory 使用者和電腦]

  2. 如果您未管理樹系的根網域,請在主控台樹中,以滑鼠右鍵按一下<Domain>,然後按一下[變更網域] (其中 <Domain> 是您目前正在管理的網域名稱)。

    Screenshot that highlights the Change Domain menu option.

  3. [變更網域]對話方塊中,按一下[瀏覽],選取樹系的根網域,然後按一下[確定]

    Screenshot that shows the OK button in the Change domain dialog box.

  4. 若要從 EA 群組中移除所有成員:

    1. 按兩下[Enterprise Admins]群組,然後按一下[成員]索引標籤。

      Screenshot that shows the Members tab within the Enterprise Admins group.

    2. 選取群組的成員,按一下[移除][是],然後按一下[確定]

  5. 重複步驟 2,直到 DA 群組的所有成員均已移除為止。

保護 Active Directory 中 Enterprise Admins 群組的逐步指示

  1. [伺服器管理員]中按一下[工具],然後按一下[群組原則管理]

  2. 在主控台樹狀目錄中,展開 <Forest>\網域\<Domain>,然後展開[群組原則物件] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您要設定群組原則的網域名稱)。

    注意

    在包含多個網域的樹系中,應該在每個需要保護 Enterprise Admins 群組的網域中建立類似的 GPO。

  3. 在主控台樹狀目錄中的[群組原則物件]上按一下滑鼠右鍵,然後按一下[新增]

    Screenshot that shows the New menu option in the Group Policy Objects menu.

  4. [新增 GPO]對話方塊中。輸入<GPO 名稱>,然後按一下[確定](其中<GPO 名稱>是此 GPO 的名稱)。

    Screenshot that shows where to type the GPO name and select the source starter GPO.

  5. 在詳細資料窗格上的<[GPO 名稱]>按一下滑鼠右鍵,然後按一下[編輯]

  6. 導覽至[電腦設定\原則\Windows 設定\安全性設定\本機原則],然後按一下[使用者權限指派]

    Screenshot that shows where to select User Rights Assignment.

  7. 設定使用者權限,以避免 Enterprise Admins 群組的成員透過網路存取成員伺服器和工作站,方法如下:

    1. 按兩下[拒絕從網路存取這台電腦],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations over the network.

    4. 按一下[確定],然後再按一下[確定]

  8. 設定使用者權限,以避免 Enterprise Admins 群組的成員以批次工作方式登入,方法如下:

    1. 按兩下[拒絕以批次工作方式登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

      注意

      在包含多個網域的樹系中,按一下[位置] ,然後選取樹系的根網域。

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from logging on as a batch job.

    4. 按一下[確定],然後再按一下[確定]

  9. 設定使用者權限,以避免 EA 群組的成員以服務方式登入,方法如下:

    1. 按兩下[拒絕以服務方式登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

      注意

      在包含多個網域的樹系中,按一下[位置] ,然後選取樹系的根網域。

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the EA group from logging on as a service.

    4. 按一下[確定],然後再按一下[確定]

  10. 設定使用者權限,以避免 Enterprise Admins 群組的成員在本機登入成員伺服器和工作站,方法如下:

    1. 按兩下[拒絕本機登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

      注意

      在包含多個網域的樹系中,按一下[位置] ,然後選取樹系的根網域。

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      Screenshot that shows how to verify that you have configured user rights to prevent members of the Enterprise Admins group from logging on locally to member servers and workstations.

    4. 按一下[確定],然後再按一下[確定]

  11. 設定使用者權限,以防止 Enterprise Admins 群組成員透過遠端桌面服務來存取成員伺服器和工作站,方法如下:

    1. 按兩下[允許透過遠端桌面服務登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

      注意

      在包含多個網域的樹系中,按一下[位置] ,然後選取樹系的根網域。

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      Screenshot that shows how to verify that you have configured the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations via Remote Desktop Services.

    4. 按一下[確定],然後再按一下[確定]

  12. 若要結束[群組原則管理編輯器],請按一下[檔案],然後按一下[結束]

  13. [群組原則管理]中,將 GPO 連結至成員伺服器和工作站 OU,方法如下:

    1. 導覽至 [<Forest>\網域\<Domain>] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您想要在其中設定群組原則的網域名稱)。

    2. 在要套用 GPO 的 OU 上按滑鼠右鍵,然後按一下[連結現有 GPO]

      Screenshot that highlights the Link an existing GPO menu option.

    3. 選取您剛才建立的 GPO,然後按一下[確定]

      Screenshot that shows where to select the GPO that you just created.

    4. 針對包含工作站的其他所有 OU 建立連結。

    5. 針對包含成員伺服器的其他所有 OU 建立連結。

    6. 在包含多個網域的樹系中,應該在每個需要保護 Enterprise Admins 群組的網域中建立類似的 GPO。

重要

如果使用跳躍伺服器來管理網域控制站和 Active Directory,請確認跳躍伺服器位於未連結此 GPO 的 OU 中。

驗證步驟

驗證「拒絕從網路存取這台電腦」GPO 設定

從任何不受 GPO 變更影響的成員伺服器或工作站 (例如「跳躍伺服器」),嘗試透過受 GPO 變更影響的網路,存取成員伺服器或工作站。 若要驗證 GPO 設定,請使用 NET USE 命令嘗試對應系統磁碟機:

  1. 使用 EA 群組成員的帳戶在本機登入。

  2. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入[命令提示],以滑鼠右鍵按一下[命令提示字元],然後按一下[以系統管理員身分執行],以開啟已提高權限的命令提示字元。

  4. 系統提示核准提高權限時,請按一下[是]

    Screenshot that shows the dialog box where you approve the elevation.

  5. [命令提示字元]視窗中,輸入 net use \\<Server Name>\c$,其中 <Server Name> 是您嘗試透過網路存取的成員伺服器或工作站名稱。

  6. 下列螢幕擷取畫面會顯示應該出現的錯誤訊息。

    Screenshot that shows the error message that should appear.

確認「拒絕以批次工作登入」GPO 設定

透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

建立批次檔

  1. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入記事本,然後按一下[記事本]

  3. [記事本]中,輸入[dir c:]

  4. 按一下[檔案],然後按一下[另存新檔]

  5. [檔案]名稱方塊中,輸入<Filename>.bat(其中<Filename>是新批次檔的名稱)。

排定工作

  1. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入[工作排程器],然後按一下[工作排程器]

    注意

    在執行 Windows 8 的電腦上,於[搜尋]方塊中輸入排程工作,然後按一下[排程工作]

  3. 按一下[動作],然後按一下[建立工作]

  4. [建立工作]對話方塊中,輸入工作名稱<> (其中<工作名稱>是新工作的名稱)。

  5. 按一下[動作]索引標籤,然後按一下[新增]

  6. [動作]欄位中,選取[啟動程式]

  7. [程式/指令碼]欄位中,按一下[瀏覽],找到並選取在[建立批次檔]區段中建立的批次檔 ,然後按一下[開啟]

  8. 按一下 [確定]

  9. 按一下 [General] \(一般\) 索引標籤。

  10. [安全性選項]欄位中,按一下[變更使用者或群組]

  11. 輸入 EA 群組成員的帳戶名稱,按一下[檢查名稱],然後按一下[確定]

  12. 選取[不論使用者是否登入皆執行]以及[不要儲存密碼]。 該工作只能存取本機電腦資源。

  13. 按一下 [確定]

  14. 應該會出現對話方塊,要求取得使用者帳戶認證來執行工作。

  15. 輸入認證之後,按一下[確定]

  16. 應該會出現類似下列的對話方塊。

    Screenshot that shows the Task Scheduler dialog box.

確認「拒絕以服務方式登入」GPO 設定

  1. 透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入服務,然後按一下[服務]

  4. 找到[列印多工緩衝處理器]並按兩下。

  5. 按一下[登入]索引標籤。

  6. [登入身分:]下方,選取[此帳戶]

  7. 按一下[瀏覽],輸入屬於 EAS 群組成員的帳戶名稱、按一下[檢查名稱],然後按一下[確定]

  8. [密碼][確認密碼]欄位中,輸入選取的帳戶密碼,然後按一下[確定]

  9. 再按[確定]三次。

  10. [列印多工緩衝處理器]服務上按一下滑鼠右鍵,然後選取[重新啟動]

  11. 重新啟動服務時,應該會出現類似下列的對話方塊。

    Screenshot that shows a message that says that Windows could not start the Print Spooler server.

將變更還原為「列印多工緩衝處理器服務」

  1. 透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入服務,然後按一下[服務]

  4. 找到[列印多工緩衝處理器]並按兩下。

  5. 按一下[登入]索引標籤。

  6. [登入身分]中,選擇[本機系統]帳戶,然後按一下[確定]

確認 [拒絕在本機登入] GPO 設定

  1. 從受 GPO 變更影響的任何成員伺服器或工作站,嘗試使用屬於 EA 群組成員的帳戶在本機登入。 應該會出現類似下列的對話方塊。

    Screenshot that shows a message that says that the sign-in method you're using isn't allowed.

確認「拒絕透過遠端桌面服務登入」GPO 設定

  1. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入遠端桌面連線,然後按一下[遠端桌面連線]

  3. [電腦]欄位中輸入您要連線的電腦名稱,然後按一下[連線]。 (您也可以不輸入電腦名稱而改為輸入 IP 位址。)

  4. 出現提示時,請提供屬於 EA 群組成員之帳戶的認證。

  5. 應該會出現類似下列的對話方塊。

    secure enterprise admin groups