本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

附录 e:保护 Active Directory 中的 Enterprise Admins 组

 

适用对象:Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012

Enterprise Admins (EA) 组,该表存放在目录林根级域中,应包含任何与根级域管理员帐户的可能的异常的日常用户提供保护中所述附录 d:保护在 Active Directory 中的内置 Administrator 帐户的安全

默认情况下,每个林中的域中管理员组的成员是 Enterprise Admins。 因为在发生时林灾难恢复方案中,将可能需要 EA 权限,不应从每个域中的管理员组删除 EA 组。 林中的 Enterprise Admins 组应保护详见接下来的分步说明。

对于在林中 Enterprise Admins 组:

  1. 链接到包含成员服务器和每个域中的工作站的 Ou 的 Gpo 中, Enterprise Admins 组应添加到以下用户权限中计算机配置 \ 策略 \windows 设置 \ 安全设置 \ 本地 Settings\User 权限分配:

    • 拒绝从网络访问该计算机

    • 拒绝以批处理作业登录

    • 拒绝以服务登录

    • 拒绝本地登录

    • 拒绝通过远程桌面服务登录

  2. 配置审核来对属性或 Enterprise Admins 组的成员身份进行任何修改时发送警报。

  1. 服务器管理器,单击工具,然后单击Active Directory 用户和计算机

  2. 如果你不管理根域的林中,在控制台树中,右键单击 < 域 >,然后单击更改域(其中 < 域名 > 是当前要管理的域的名称)。

    Screen shot of clicking Change Domain
  3. 更改域对话框中,单击浏览、 选择目录林的根级域,然后单击确定

    Screen shot of browing to root domain for forest
  4. 若要从 EA 组中删除所有成员:

    1. 双击Enterprise Admins组,然后单击成员选项卡。

      Screen shot of Members tab
    2. 选择组的成员,单击删除,单击,然后单击确定

  5. 重复步骤 2,直到已删除 EA 组的所有成员。

  1. 服务器管理器,单击工具,然后单击组策略管理

  2. 在控制台树中,依次展开 < 林 > \Domains\ < 域 >,然后组策略对象(其中 < 林 > 是林的名称和 < 域 > 是想要设置的组策略的域的名称)。

    System_CAPS_note注意

    在包含多个域的林中,应在需要保护 Enterprise Admins 组的每个域中创建类似的 GPO。

  3. 在控制台树中,右键单击组策略对象,然后单击新建

    Screen shot of choosing to create new GPO
  4. 新的 GPO对话框中,键入 < GPO 名称 >,然后单击确定(其中 < GPO 名称 > 是此 GPO 的名称)。

    Screen shot of creating new GPO
  5. 在详细信息窗格中,右键单击 < GPO 名称 >,然后单击编辑

  6. 导航到计算机配置 \ 策略 \windows 设置 \ 安全设置 \ 本地策略,然后单击用户权限分配

    Screen shot of choosing User Rights Assignment
  7. 配置的用户权限以防止 Enterprise Admins 组的成员通过网络访问成员服务器和工作站通过执行以下操作:

    1. 双击拒绝从网络访问这台计算机并选择定义这些策略设置

    2. 单击添加用户或组单击浏览

    3. 类型Enterprise Admins,单击检查名称,然后单击确定

      Screen shot of typing Enterprise Admins
    4. 单击确定,和确定再次。

  8. 配置的用户权限以防止通过执行以下的作为批处理作业登录 Enterprise Admins 组的成员:

    1. 双击拒绝以批处理作业登录并选择定义这些策略设置

    2. 单击添加用户或组单击浏览

      System_CAPS_note注意

      在包含多个域的林中,请单击位置和选择的目录林根域。

    3. 类型Enterprise Admins,单击检查名称,然后单击确定

      Screen shot of typing Enterprise Admins
    4. 单击确定,和确定再次。

  9. 配置的用户权限以防止 EA 组的成员作为服务登录通过执行以下操作:

    1. 双击作为一项服务拒绝日志并选择定义这些策略设置

    2. 单击添加用户或组然后单击浏览

      System_CAPS_note注意

      在包含多个域的林中,请单击位置和选择的目录林根域。

    3. 类型Enterprise Admins,单击检查名称,然后单击确定

      Screen shot of typing Enterprise Admins
    4. 单击确定,和确定再次。

  10. 配置用户权限以防止 Enterprise Admins 组的成员在本地登录到成员服务器和工作站通过执行以下操作:

    1. 双击拒绝本地登录并选择定义这些策略设置

    2. 单击添加用户或组然后单击浏览

      System_CAPS_note注意

      在包含多个域的林中,请单击位置和选择的目录林根域。

    3. 类型Enterprise Admins,单击检查名称,然后单击确定

      Screen shot of typing Enteprise Admins
    4. 单击确定,和确定再次。

  11. 配置的用户权限以防止 Enterprise Admins 组的成员访问成员服务器和工作站通过远程桌面服务通过执行以下操作:

    1. 双击拒绝通过远程桌面服务登录并选择定义这些策略设置

    2. 单击添加用户或组然后单击浏览

      System_CAPS_note注意

      在包含多个域的林中,请单击位置和选择的目录林根域。

    3. 类型Enterprise Admins,单击检查名称,然后单击确定

      Screen shot of typing Enteprise Admins
    4. 单击确定,和确定再次。

  12. 若要退出组策略管理编辑器,单击文件,然后单击退出

  13. 组策略管理,通过执行以下操作将 GPO 链接到成员服务器和工作站 Ou:

    1. 导航到 < 林 > \Domains\ < 域 > (其中 < 林 > 是林的名称和 < 域 > 是想要设置的组策略的域的名称)。

    2. 右键单击 OU,GPO 将应用于单击链接现有 GPO

      Screen shot of clicking Link an existing GPO
    3. 选择您刚创建的 GPO,然后单击确定

      Screen shot of selecting created GPO
    4. 创建链接到包含工作站的所有其他 Ou。

    5. 创建链接到包含成员服务器的所有其他 Ou。

    6. 在包含多个域的林中,应在需要保护 Enterprise Admins 组的每个域中创建类似的 GPO。

System_CAPS_important重要事项

如果跳转服务器用于管理域控制器和 Active Directory,确保跳转服务器均位于的 OU Gpo 未链接到此。

从任何成员服务器或工作站上不受 GPO 更改 (例如"跳转服务器"),尝试通过受 GPO 变更的网络访问的成员服务器或工作站。 若要验证 GPO 设置,请尝试通过使用系统驱动器映射NET USE命令通过执行以下步骤:

  1. 本地使用的是 EA 组的成员的帐户登录。

  2. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  3. 搜索框中,键入命令提示符下,用鼠标右键单击命令提示符下,然后单击以管理员身份运行若要打开提升的命令提示符。

  4. 当系统提示您批准提升,则单击

    Screen shot of approving elevation
  5. 命令提示符下窗口中,键入net 使用 \\ < 服务器名称 > \c$,其中 < 服务器名称 > 是成员服务器或您试图通过网络访问的工作站的名称。

  6. 下面的屏幕快照显示应出现的错误消息。

    Screen shot of error message

从任何成员服务器或工作站的 GPO 更改影响,在本地登录。

  1. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  2. 搜索框中,键入记事本,然后单击记事本

  3. 记事本,类型dir c:

  4. 单击文件,然后单击另存为

  5. 文件名称框中,键入< 文件名 >.bat(其中 < 文件名 > 是新的批处理文件的名称)。

  1. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  2. 搜索框中,键入任务计划程序,然后单击任务计划程序

    System_CAPS_note注意

    在计算机上运行 Windows 8 中,在搜索框中,键入安排任务,然后单击安排任务

  3. 单击操作,然后单击创建任务

  4. 创建任务对话框中,键入< 任务名称 >(其中 < 任务名称 > 是新的任务的名称)。

  5. 单击操作卡,然后单击新建

  6. 操作字段中,选择启动程序

  7. 在下程序/脚本,单击浏览,找到并选择中创建的批处理文件创建一个批处理文件部分,然后单击打开

  8. 单击“确定”。

  9. 单击“常规”选项卡。

  10. 安全选项字段中,单击更改用户或组

  11. 键入是 EAs 组的成员的帐户名称,单击检查名称,然后单击确定

  12. 选择运行或不用户是否登录并选择不存储密码 该任务才会对本地计算机资源的访问。

  13. 单击“确定”。

  14. 应显示一个对话框,请求的用户帐户凭据以运行此任务。

  15. 输入凭据后, 单击确定

  16. 应显示一个类似于以下的对话框。

    Screen shot of Task Scheduler dialog box

  1. 从任何成员服务器或工作站的 GPO 更改影响,在本地登录。

  2. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  3. 搜索框中,键入服务,然后单击服务

  4. 找到并双击打印后台处理程序

  5. 单击“登录”选项卡。

  6. 在下以登录到,选择此帐户

  7. 单击浏览,键入该帐户是 EAs 组的成员的名称,单击检查名称,然后单击确定

  8. 在下密码:确认密码,键入所选的帐户的密码,然后单击确定

  9. 单击确定三次。

  10. 右键单击打印后台处理程序服务,然后选择重新启动

  11. 当重新启动该服务时,应显示一个类似于以下的对话框。

    Screen shot of login failure dialog box

  1. 从任何成员服务器或工作站的 GPO 更改影响,在本地登录。

  2. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  3. 搜索框中,键入服务,然后单击服务

  4. 找到并双击打印后台处理程序

  5. 单击“登录”选项卡。

  6. 在下以登录到,选择本地系统帐户,然后单击确定

  1. 从任何成员服务器或工作站的 GPO 更改影响,尝试在本地使用的是 EA 组的成员的帐户登录。 应显示一个类似于以下的对话框。

    Screen shot of unallowed sign-in method

  1. 使用鼠标,请将指针移动到屏幕的右上角或右下角。超级按钮栏出现时,单击搜索

  2. 搜索框中,键入远程桌面连接,然后单击远程桌面连接

  3. 计算机字段中,键入要连接到,然后单击该计算机的名称连接 (也可以键入而不是计算机名称的 IP 地址)。

  4. 出现提示时,是 EA 组的成员的帐户提供凭据。

  5. 应显示一个类似于以下的对话框。

    Screen shot of unallowed sign-in method
显示: