共用方式為

附錄 F︰保護 Active Directory 中的 Domain Admins 群組

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附錄 F︰保護 Active Directory 中的 Domain Admins 群組

如同 Enterprise Admins (EA) 群組的情況,Domain Administrators (DA) 群組中的成員資格只有在組建或災害復原案例中才需要。 DA 群組中不應該有日常使用者帳戶,該網域內建的 Administrator 帳戶除外 (如已依照附錄 D︰保護 Active Directory 中的內建的 Administrator 帳戶描述而受保護)。

根據預設,Domain Admins 是其各自網域中所有成員伺服器和工作站上本機 Administrators 群組的成員。 此預設情境不應針對支援性和災害復原目的進行修改。 如果已從成員伺服器上的本機 Administrators 群組中移除 Domain Admins,該群組應該新增至網域中每個成員伺服器和工作站上的 Administrators 群組。 每個網域的 Domain Admins 群組都應該受到保護,如後續的逐步指示中所述。

針對樹系中每個網域中的 Domain Admins 群組:

  1. 請從 Administrators 群組中移除所有成員,該網域內建的 Administrator 帳戶除外 (如已依照附錄 D︰保護 Active Directory 中的內建的 Administrator 帳戶描述,受保護的話)。

  2. 在連結至 OU 的 GPO 中 (OU 包含每個網域的成員伺服器和工作站),DA 群組應新增至電腦設定\原則\Windows 設定\安全性設定\本機原則\使用者權限指派中的下列使用者權限:

    • 拒絕從網路存取這台電腦

    • 拒絕以批次工作登入

    • 拒絕以服務方式登入

    • 拒絕本機登入

    • 拒絕透過遠端桌面服務使用者權限登入

  3. 如果對 Domain Admins 群組的屬性或成員資格進行任何修改,應該設定稽核以傳送警示。

從 Domain Admins 群組移除所有成員的逐步指示

  1. [伺服器管理員]中,依序按一下[工具][Active Directory 使用者和電腦]

  2. 若要從 DA 群組移除所有成員,請執行下列步驟:

    1. 按兩下[Domain Admins]群組,然後按一下[成員]索引標籤。

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. 選取群組的成員,按一下[移除][是],然後按一下[確定]

  3. 重複步驟 2,直到 DA 群組的所有成員均已移除為止。

保護 Active Directory 中 Domain Admins 群組的逐步指示

  1. [伺服器管理員]中按一下[工具],然後按一下[群組原則管理]

  2. 在主控台樹狀目錄中,展開<樹系>\網域\<[網域]>,然後展開[群組原則物件](其中<[樹系]>是樹系的名稱,而<[網域]>是您要設定群組原則的網域名稱)。

  3. 在主控台樹狀目錄中的[群組原則物件]上按一下滑鼠右鍵,然後按一下[新增]

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. [新增 GPO]對話方塊中。輸入<GPO 名稱>,然後按一下[確定](其中<GPO 名稱>是此 GPO 的名稱)。

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. 在詳細資料窗格上的<[GPO 名稱]>按一下滑鼠右鍵,然後按一下[編輯]

  6. 導覽至[電腦設定\原則\Windows 設定\安全性設定\本機原則],然後按一下[使用者權限指派]

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. 設定使用者權限,以避免 Domain Admins 群組的成員透過網路存取成員伺服器和工作站,方法如下:

    1. 按兩下[拒絕從網路存取這台電腦],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. 按一下 [確定],然後再按一下[確定]

  8. 設定使用者權限,以避免 DA 群組的成員以批次工作方式登入,方法如下:

    1. 按兩下[拒絕以批次工作登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. 按一下 [確定],然後再按一下[確定]

  9. 設定使用者權限,以避免 DA 群組的成員以服務方式登入,方法如下:

    1. 按兩下 [拒絕以服務方式登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. 按一下 [確定],然後再按一下[確定]

  10. 設定使用者權限,以避免 Domain Admins 群組的成員透過網路存取成員伺服器和工作站,方法如下:

    1. 按兩下[拒絕本機登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. 按一下 [確定],然後再按一下[確定]

  11. 設定使用者權限,以防止 Administrator 帳戶透過遠端桌面服務來存取成員伺服器和工作站,作法如下:

    1. 按兩下[允許透過遠端桌面服務登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. 按一下 [確定],然後再按一下[確定]

  12. 若要結束[群組原則管理編輯器],請按一下[檔案],然後按一下[結束]

  13. 在[群組原則管理]中,將 GPO 連結至成員伺服器和工作站 OU,方法如下:

    1. 導覽至 [<Forest>\網域\<Domain>] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您想要在其中設定群組原則的網域名稱)。

    2. 在要套用 GPO 的 OU 上按滑鼠右鍵,然後按一下[連結現有 GPO]

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. 選取您剛才建立的 GPO,然後按一下[確定]

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. 針對包含工作站的其他所有 OU 建立連結。

    5. 針對包含成員伺服器的其他所有 OU 建立連結。

      重要

      如果使用跳躍伺服器來管理網域控制站和 Active Directory,請確認跳躍伺服器位於未連結此 GPO 的 OU 中。

驗證步驟

驗證「拒絕從網路存取這台電腦」GPO 設定

從任何不受 GPO 變更影響的成員伺服器或工作站 (例如「跳躍伺服器」),嘗試透過受 GPO 變更影響的網路,存取成員伺服器或工作站。 若要驗證 GPO 設定,請使用 NET USE 命令嘗試對應系統磁碟機。

  1. 使用 Domain Admins 群組成員的帳戶在本機登入。

  2. 將滑鼠指標移至畫面右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入[命令提示],以滑鼠右鍵按一下[命令提示字元],然後按一下[以系統管理員身分執行],以開啟已提高權限的命令提示字元。

  4. 系統提示核准提高權限時,請按一下[是]

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. [命令提示字元]視窗中,輸入 net use \\<Server Name>\c$,其中 <Server Name> 是您嘗試透過網路存取的成員伺服器或工作站名稱。

  6. 下列螢幕擷取畫面會顯示應該出現的錯誤訊息。

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

確認「拒絕以批次工作登入」GPO 設定

透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

建立批次檔

  1. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入記事本,然後按一下[記事本]

  3. [記事本]中,輸入[dir c:]

  4. 按一下[檔案],然後按一下[另存新檔]

  5. [檔案名稱]欄位中,輸入<Filename>.bat(其中<Filename>是新批次檔的名稱)。

排定工作

  1. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入[工作排程器],然後按一下[工作排程器]

    注意

    在執行 Windows 8 的電腦上,於[搜尋]方塊中輸入schedule tasks,然後按一下[排程工作]

  3. [工作排程器]功能表列中,按一下[動作],然後按一下[建立工作]

  4. [建立工作]對話方塊中,輸入<[工作名稱]>(其中<[工作名稱]>是新工作的名稱)。

  5. 按一下[動作]索引標籤,然後按一下[新增]

  6. [動作]欄位中,選取[啟動程式]

  7. [程式/指令碼]欄位中,按一下[瀏覽],找到並選取在[建立批次檔]區段中建立的批次檔 ,然後按一下[開啟]

  8. 按一下 [確定]

  9. 按一下 [General] \(一般\) 索引標籤。

  10. [安全性]選項中,按一下[變更使用者或群組]

  11. 輸入 Administrators 群組成員的帳戶名稱,按一下[檢查名稱],然後按一下[確定]

  12. 選取[不論使用者是否登入皆執行]以及[不要儲存密碼]。 該工作只能存取本機電腦資源。

  13. 按一下 [確定]

  14. 應該會出現對話方塊,要求取得使用者帳戶認證來執行工作。

  15. 輸入認證之後,按一下[確定]

  16. 應該會出現類似下列的對話方塊。

    Screenshot that shows the error that should occur after you enter the credentials.

確認「拒絕以服務方式登入」GPO 設定

  1. 透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入服務,然後按一下[服務]

  4. 找到[列印多工緩衝處理器]並按兩下。

  5. 按一下[登入]索引標籤。

  6. [登入身分]下,選取[此帳戶]選項。

  7. 輸入 Domain Admins 群組成員的帳戶名稱,按一下[檢查名稱],然後按一下[確定]

  8. [密碼][確認密碼]欄位中,輸入選取的帳戶密碼,然後按一下[確定]

  9. 再按[確定]三次。

  10. [列印多工緩衝處理器]上按一下滑鼠右鍵,然後按一下[重新啟動]

  11. 重新啟動服務時,應該會出現類似下列的對話方塊。

    Screenshot that shows the dialog box that appears after the service is restarted.

將變更還原為「列印多工緩衝處理器服務」

  1. 透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入服務,然後按一下[服務]

  4. 找到[列印多工緩衝處理器]並按兩下。

  5. 按一下[登入]索引標籤。

  6. [登入身分]中,選擇[本機系統]帳戶,然後按一下[確定]

確認 [拒絕在本機登入] GPO 設定

  1. 從受 GPO 變更影響的任何成員伺服器或工作站,嘗試使用屬於 Domain Admins 群組成員的帳戶在本機登入。 應該會出現類似下列的對話方塊。

    secure domain admin groups

確認「拒絕透過遠端桌面服務登入」GPO 設定

  1. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入遠端桌面連線,然後按一下[遠端桌面連線]

  3. [電腦]欄位中輸入您要連線的電腦名稱,然後按一下[連線]。 (您也可以不輸入電腦名稱而改為輸入 IP 位址。)

  4. 出現提示時,請提供屬於 Domain Admins 群組成員之帳戶的認證。

  5. 應該會出現類似下列的對話方塊。

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.