保护Active Directory中的域管理员组

附录F：保护Active Directory中的域管理员组

• 2016年8月31日
• 8分钟阅读

 

适用于：Windows Server 2008，Windows Server 2008 R2，Windows Server 2012 R2，Windows Server 2012

附录F：保护Active Directory中的域管理员组

与企业管理员（EA）组一样，仅在构建或灾难恢复方案中才需要域管理员（DA）组的成员身份。如果域的内置管理员帐户已按照附录D：在Active Directory中保护内置管理员帐户中的说明进行了保护，则DA组中不应有日常用户帐户，但该域的内置管理员帐户除外。

默认情况下，域管理员是各自域中所有成员服务器和工作站上本地Administrators组的成员。出于支持性和灾难恢复的目的，不应修改此默认嵌套。如果已从成员服务器上的本地Administrators组中删除Domain Admins，则应将该组添加到域中每个成员服务器和工作站上的Administrators组中。每个域的Domain Admins组均应按照以下分步说明中的说明进行保护。

对于目录林中每个域中的Domain Admins组：

1. 从域中删除所有成员，但该域的内置Administrator帐户可能会例外，前提是已按照附录D：在Active Directory中保护内置Administrator帐户中的说明对其进行了保护。
2. 在链接到每个域中包含成员服务器和工作站的OU的GPO中，应将DA组添加到“ 计算机配置\策略\ Windows设置\安全设置\本地设置\用户权限分配”中的以下用户权限中：
   • 拒绝从网络访问此计算机
   • 拒绝作为批处理作业登录
   • 拒绝作为服务登录
   • 拒绝本地登录
   • 拒绝通过远程桌面服务用户权限登录
3. 如果对Domain Admins组的属性或成员身份进行了任何修改，则应将审核配置为发送警报。

从Domain Admins组中删除所有成员的分步说明

1. 在服务器管理器中，单击“ 工具”，然后单击“ Active Directory用户和计算机”。
2. 要从DA组中删除所有成员，请执行以下步骤：
   1. 双击“ 域管理员”组，然后单击“ 成员”选项卡。

1. 1. 选择该组的成员，单击“ 删除”，单击“ 是”，然后单击“ 确定”。
2. 重复步骤2，直到已删除DA组的所有成员。

在Active Directory中保护域管理员的分步说明

1. 在服务器管理器中，单击“ 工具”，然后单击“ 组策略管理”。
2. 在控制台树中，依次展开“ <Forest> \ Domains \ <Domain>”和“ 组策略对象”（其中<Forest>是目录林的名称，而<Domain>是要在其中设置组策略的域的名称） ）。
3. 在控制台树中，右键单击“ 组策略对象”，然后单击“ 新建”。

1. 在“ 新建GPO”对话框中，键入<GPO名称>，然后单击“ 确定”（其中GPO名称是该GPO的名称）。

1. 在详细信息窗格中，右键单击“ <GPO名称>”，然后单击“ 编辑”。
2. 导航到“ 计算机配置\策略\ Windows设置\安全设置\本地策略”，然后单击“ 用户权限分配”。

1. 通过执行以下操作，配置用户权限以防止Domain Admins组的成员通过网络访问成员服务器和工作站：
   1. 双击“拒绝从网络访问此计算机”，然后选择“ 定义这些策略设置”。
   2. 单击添加用户或组，然后单击浏览。
   3. 键入域管理员，单击检查名称，然后单击确定。

1. 1. 单击确定，并确定一次。
2. 通过执行以下操作，配置用户权限以防止DA组的成员作为批处理作业登录：
   1. 双击“拒绝作为批处理作业登录”，然后选择“ 定义这些策略设置”。
   2. 单击添加用户或组，然后单击浏览。
   3. 键入域管理员，单击检查名称，然后单击确定。

1. 1. 单击确定，并确定一次。
2. 通过执行以下操作，配置用户权限以防止DA组的成员作为服务登录：
   1. 双击“拒绝作为服务登录”，然后选择“ 定义这些策略设置”。
   2. 单击添加用户或组，然后单击浏览。
   3. 键入域管理员，单击检查名称，然后单击确定。

1. 1. 单击确定，并确定一次。
2. 通过执行以下操作，配置用户权限以防止Domain Admins组的成员本地登录到成员服务器和工作站：
   1. 双击“拒绝本地登录”，然后选择“ 定义这些策略设置”。
   2. 单击添加用户或组，然后单击浏览。
   3. 键入域管理员，单击检查名称，然后单击确定。

1. 1. 单击确定，并确定一次。
2. 通过执行以下操作，配置用户权限以防止Domain Admins组的成员通过远程桌面服务访问成员服务器和工作站：
   1. 双击“拒绝通过远程桌面服务登录”，然后选择“ 定义这些策略设置”。
   2. 单击添加用户或组，然后单击浏览。
   3. 键入域管理员，单击检查名称，然后单击确定。

1. 1. 单击确定，并确定一次。
2. 要退出组策略管理编辑器，请单击“ 文件”，然后单击“ 退出”。
3. 在组策略管理中，通过执行以下操作将GPO链接到成员服务器和工作站OU：
   1. 导航到<Forest> \ Domains \ <Domain>（其中<Forest>是目录林的名称，而<Domain>是要在其中设置组策略的域的名称）。
   2. 右键单击将应用GPO的OU，然后单击链接现有GPO。

1. 1. 选择刚刚创建的GPO，然后单击“ 确定”。

1. 1. 创建指向包含工作站的所有其他OU的链接。
   2. 创建指向包含成员服务器的所有其他OU的链接。

 重要

如果使用跳转服务器来管理域控制器和Active Directory，请确保跳转服务器位于此GPO未链接到的OU中。

验证步骤

验证“拒绝从网络访问此计算机” GPO设置

从不受GPO更改影响的任何成员服务器或工作站（例如“跳转服务器”），尝试通过受GPO更改影响的网络访问成员服务器或工作站。要验证GPO设置，请尝试使用NET USE命令映射系统驱动器。

1. 使用属于Domain Admins组成员的帐户在本地登录。
2. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时，单击搜索。
3. 在“ 搜索”框中，键入命令提示符，右键单击“ 命令提示符”，然后单击“以管理员身份运行”以打开提升权限的命令提示符。
4. 当提示您批准立面时，点击是。

1. 在“ 命令提示符”窗口中，键入net use \\ <服务器名称> \ c $，其中<服务器名称>是您尝试通过网络访问的成员服务器或工作站的名称。
2. 以下屏幕快照显示了应该出现的错误消息。

验证“拒绝以批处理身份登录” GPO设置

从受GPO更改影响的任何成员服务器或工作站，本地登录。

创建一个批处理文件

1. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时，单击搜索。
2. 在搜索框中，键入记事本，然后单击记事本。
3. 在记事本中，键入DIR C： 。
4. 单击文件，然后单击另存为。
5. 在“ 文件名”字段中，键入<Filename> .bat（其中<Filename>是新批处理文件的名称）。

安排任务

1. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时，单击搜索。
2. 在“ 搜索”框中，键入“ 任务计划程序”，然后单击“ 任务计划程序”。

 注意

在运行Windows 8的计算机上的“ 搜索”框中，键入“ 计划任务”，然后单击“ 计划任务”。

1. 在“ 任务计划程序”菜单栏中，单击“操作”，然后单击“ 创建任务”。
2. 在“ 创建任务”对话框中，键入<任务名称>（其中<任务名称>是新任务的名称）。
3. 点击操作标签，然后点击新建。
4. 在“ 操作”字段中，选择“ 启动程序”。
5. 在“ 程序/脚本”下，单击“ 浏览”，找到并选择在“ 创建批处理文件”部分中创建的批处理文件，然后单击“ 打开”。
6. 单击确定。
7. 单击常规选项卡。
8. 在安全选项下，点击更改用户或组。
9. 输入属于Domain Admins组成员的帐户的名称，单击Check Names，然后单击OK。
10. 选择运行（无论用户是否登录），然后选择不存储密码。该任务将只能访问本地计算机资源。
11. 单击确定。
12. 应出现一个对话框，要求用户帐户凭据来运行任务。
13. 输入凭据后，单击确定。
14. 将出现一个类似于以下对话框。

验证“拒绝作为服务登录” GPO设置

1. 从受GPO更改影响的任何成员服务器或工作站，本地登录。
2. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时，单击搜索。
3. 在“ 搜索”框中，键入services，然后单击Services。
4. 找到并双击“ 后台打印程序”。
5. 单击登录选项卡。
6. 在“ 以以下身份登录”下，选择“ 此帐户”选项。
7. 单击浏览，键入Domain Admins组成员的帐户名称，单击检查名称，然后单击确定。
8. 在密码和确认密码下，输入所选帐户的密码，然后点击确定。
9. 再单击确定三次。
10. 右键单击“ 后台打印程序”，然后单击“ 重新启动”。
11. 重新启动服务后，将出现类似于以下对话框。

将更改还原到打印机后台处理程序服务

1. 从受GPO更改影响的任何成员服务器或工作站，本地登录。
2. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时，单击搜索。
3. 在“ 搜索”框中，键入services，然后单击Services。
4. 找到并双击“ 后台打印程序”。
5. 单击登录选项卡。
6. 在“ 登录身份”下，选择“ 本地系统”帐户，然后单击“ 确定”。

验证“拒绝本地登录” GPO设置

1. 在受GPO更改影响的任何成员服务器或工作站上，尝试使用作为Domain Admins组成员的帐户本地登录。将出现一个类似于以下对话框。

验证“拒绝通过远程桌面服务登录” GPO设置

1. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时，单击搜索。
2. 在“ 搜索”框中，键入“ 远程桌面连接”，然后单击“ 远程桌面连接”。
3. 在“ 计算机”字段中，输入要连接的计算机的名称，然后单击“ 连接”。（您也可以键入IP地址而不是计算机名称。）
4. 出现提示时，请为Domain Admins组成员的帐户提供凭据。
5. 将出现一个类似于以下对话框。