本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

附录 f:保护在 Active Directory 中的域管理员组

 

适用对象:Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012

由于是 Enterprise Admins (EA) 组这种情况,应仅在生成或灾难恢复方案中需要域管理员 (DA) 组中的成员身份。 应该有没有日常的用户帐户的 DA 组中除内置的 Administrator 帐户的域中,如果保护中所述附录 d:保护在 Active Directory 中的内置 Administrator 帐户的安全

默认情况下,所有成员服务器和其各自的域中的工作站上本地 Administrators 组的成员是 domain Admins。 这种默认嵌套不应修改可支持性和灾难恢复的目的。 如果已从成员服务器上的本地管理员组中删除域管理员,则该组应添加到每个成员服务器和域中的工作站上的 Administrators 组中。 每个域的 Domain Admins 组应遵循的分步说明中所述的安全。

对于在林中的每个域中 Domain Admins 组:

  1. 提供保护中所述从组中,与可能的异常的内置管理员帐户的域中,删除所有成员附录 d:保护在 Active Directory 中的内置 Administrator 帐户的安全

  2. 在链接到包含成员服务器和每个域中的工作站的 Ou 的 Gpo,DA 组应添加到以下用户权限中计算机配置 \ 策略 \windows 设置 \ 安全设置 \ 本地 Settings\User 权限分配:

    • 拒绝从网络访问该计算机

    • 拒绝以批处理作业登录

    • 拒绝以服务登录

    • 拒绝本地登录

    • 拒绝通过远程桌面服务的用户权限登录

  3. 应将审核配置为对属性或 Domain Admins 组的成员身份进行任何修改时发送警报。

  1. 服务器管理器,单击工具,然后单击Active Directory 用户和计算机

  2. 若要从 DA 组中删除所有成员,请执行以下步骤:

    1. 双击Domain Admins组然后单击成员选项卡。

      Screen shot of Members tab
    2. 选择组的成员,单击删除,单击,然后单击确定

  3. 重复步骤 2,直到已删除 DA 组的所有成员。

  1. 服务器管理器,单击工具,然后单击组策略管理

  2. 在控制台树中,依次展开 < 林 > \Domains\ < 域 >,然后组策略对象(其中 < 林 > 是林的名称和 < 域 > 是想要设置的组策略的域的名称)。

  3. 在控制台树中,右键单击组策略对象,然后单击新建

    Screen shot of creating new GPO
  4. 新的 GPO对话框中,键入 < GPO 名称 >,然后单击确定(其中 GPO 名称是此 GPO 的名称)。

    Screen shot of New GPO dialog box
  5. 在详细信息窗格中,右键单击 < GPO 名称 >,然后单击编辑

  6. 导航到计算机配置 \ 策略 \windows 设置 \ 安全设置 \ 本地策略,然后单击用户权限分配

    Screen shot of choosing User Rights Assignment
  7. 配置的用户权限以防止 Domain Admins 组的成员通过网络访问成员服务器和工作站通过执行以下操作:

    1. 双击拒绝从网络访问这台计算机并选择定义这些策略设置

    2. 单击添加用户或组单击浏览

    3. 类型Domain Admins,单击检查名称,然后单击确定

      Screen shot of typing Domain Admins
    4. 单击确定,和确定再次。

  8. 配置的用户权限以防止 DA 组的成员作为批处理作业登录通过执行以下操作:

    1. 双击拒绝以批处理作业登录并选择定义这些策略设置

    2. 单击添加用户或组单击浏览

    3. 类型Domain Admins,单击检查名称,然后单击确定

      Screen shot of typing Domain Admins
    4. 单击确定,和确定再次。

  9. 配置的用户权限以防止 DA 组的成员作为服务登录通过执行以下操作:

    1. 双击拒绝作为服务登录并选择定义这些策略设置

    2. 单击添加用户或组单击浏览

    3. 类型Domain Admins,单击检查名称,然后单击确定

      Screen shot of typing Domain Admins
    4. 单击确定,和确定再次。

  10. 配置的用户权限以防止 Domain Admins 组的成员在本地登录到成员服务器和工作站通过执行以下操作:

    1. 双击拒绝本地登录并选择定义这些策略设置

    2. 单击添加用户或组单击浏览

    3. 类型Domain Admins,单击检查名称,然后单击确定

      Screen shot of typing Domain Admins
    4. 单击确定,和确定再次。

  11. 配置的用户权限以防止 Domain Admins 组的成员访问成员服务器和工作站通过远程桌面服务通过执行以下操作:

    1. 双击拒绝通过远程桌面服务登录并选择定义这些策略设置

    2. 单击添加用户或组单击浏览

    3. 类型Domain Admins,单击检查名称,然后单击确定

      Screen shot of typing Domain Admins
    4. 单击确定,和确定再次。

  12. 若要退出组策略管理编辑器,单击文件,然后单击退出

  13. 在组策略管理将 GPO 链接到成员服务器和工作站 Ou 通过执行以下操作:

    1. 导航到 < 林 > \Domains\ < 域 > (其中 < 林 > 是林的名称和 < 域 > 是想要设置的组策略的域的名称)。

    2. 右键单击 OU,GPO 将应用于单击链接现有 GPO

      Screen shot of choosing Link an Existing GPO
    3. 选择您刚创建的 GPO,然后单击确定

      Screen shot of choosing newly created GPO
    4. 创建链接到包含工作站的所有其他 Ou。

    5. 创建链接到包含成员服务器的所有其他 Ou。

      System_CAPS_important重要事项

      如果跳转服务器用于管理域控制器和 Active Directory,确保跳转服务器均位于的 OU Gpo 未链接到此。

从任何成员服务器或工作站上不受 GPO 更改 (例如"跳转服务器"),尝试通过受 GPO 变更的网络访问的成员服务器或工作站。 若要验证 GPO 设置,请尝试通过使用系统驱动器映射NET USE命令。

  1. 本地使用的是 Domain Admins 组的成员的帐户登录。

  2. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  3. 搜索框中,键入命令提示符下,用鼠标右键单击命令提示符下,然后单击以管理员身份运行若要打开提升的命令提示符。

  4. 当系统提示您批准提升,则单击

    Screen shot of approving elevation
  5. 命令提示符下窗口中,键入net 使用 \\ < 服务器名称 > \c$,其中 < 服务器名称 > 是成员服务器或您试图通过网络访问的工作站的名称。

  6. 下面的屏幕快照显示应出现的错误消息。

    Screen shot of error message

从任何成员服务器或工作站的 GPO 更改影响,在本地登录。

  1. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  2. 搜索框中,键入记事本,然后单击记事本

  3. 记事本,类型dir c:

  4. 单击文件,然后单击另存为

  5. 文件名称字段中,键入< 文件名 >.bat(其中 < 文件名 > 是新的批处理文件的名称)。

  1. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  2. 搜索框中,键入任务计划程序,然后单击任务计划程序

    System_CAPS_note注意

    在计算机上运行 Windows 8 中,在搜索框中,键入安排任务,然后单击安排任务

  3. 任务计划程序菜单栏上,单击操作,然后单击创建任务

  4. 创建任务对话框中,键入< 任务名称 >(其中 < 任务名称 > 是新的任务的名称)。

  5. 单击操作卡,然后单击新建

  6. 操作字段中,选择启动程序

  7. 在下程序/脚本,单击浏览,找到并选择中创建的批处理文件创建一个批处理文件部分,然后单击打开

  8. 单击“确定”。

  9. 单击“常规”选项卡。

  10. 在下安全选项,单击更改用户或组

  11. 键入是 Domain Admins 组的成员的帐户名称,单击检查名称,然后单击确定

  12. 选择运行或不用户是否登录并选择不存储密码 该任务才会对本地计算机资源的访问。

  13. 单击“确定”。

  14. 应显示一个对话框,请求的用户帐户凭据以运行此任务。

  15. 输入凭据后, 单击确定

  16. 应显示一个类似于以下的对话框。

    Screen shot of Task Scheduler dialog box

  1. 从任何成员服务器或工作站的 GPO 更改影响,在本地登录。

  2. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  3. 搜索框中,键入服务,然后单击服务

  4. 找到并双击打印后台处理程序

  5. 单击“登录”选项卡。

  6. 在下以登录到,选择此帐户选项。

  7. 单击浏览,键入该帐户是 Domain Admins 组的成员的名称,单击检查名称,然后单击确定

  8. 在下密码确认密码,键入所选的帐户的密码,然后单击确定

  9. 单击确定三次。

  10. 右键单击打印后台处理程序单击重新启动

  11. 当重新启动该服务时,应显示一个类似于以下的对话框。

    Screen shot of login failure dialog box

  1. 从任何成员服务器或工作站的 GPO 更改影响,在本地登录。

  2. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  3. 搜索框中,键入服务,然后单击服务

  4. 找到并双击打印后台处理程序

  5. 单击“登录”选项卡。

  6. 在下以登录到,选择本地系统帐户,然后单击确定

  1. 从任何成员服务器或工作站的 GPO 更改影响,尝试在本地使用的是 Domain Admins 组的成员的帐户登录。 应显示一个类似于以下的对话框。

    Screen shot indicating unallowed sign-in method

  1. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  2. 搜索框中,键入远程桌面连接,然后单击远程桌面连接

  3. 计算机字段中,键入您想要连接到,然后单击该计算机的名称连接 (也可以键入而不是计算机名称的 IP 地址)。

  4. 出现提示时,是 Domain Admins 组的成员的帐户提供凭据。

  5. 应显示一个类似于以下的对话框。

    Screen shot indicating unallowed sign-in method
显示: