Appendice E: Protezione dei gruppi Enterprise Admins in Active Directory
Appendice E: Protezione dei gruppi Enterprise Admins in Active Directory
Il gruppo Enterprise Admins (EA), che è ospitato nel dominio radice della foresta, non deve contenere utenti su base giornaliera, con l'eccezione possibile dell'account Amministratore del dominio radice, purché sia protetto come descritto nell'Appendice D: Protezione degli account amministratore predefiniti in Active Directory.
Enterprise Admins sono, per impostazione predefinita, i membri del gruppo Administrators in ogni dominio nella foresta. Non rimuovere il gruppo EA dai gruppi Administrators di ciascun dominio perché in caso di uno scenario di ripristino di emergenza della foresta, è probabile che siano necessari i diritti EA. Il gruppo Enterprise Admins della foresta deve essere protetto come descritto in dettaglio nelle istruzioni che seguono.
Per il gruppo Enterprise Admins nella foresta:
Negli oggetti Criteri di gruppo collegati alle unità organizzative contenenti server membri e workstation in ogni dominio, il gruppo Enterprise Admins deve essere aggiunto ai diritti utente seguenti in Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazioni diritti utente:
Nega accesso al computer dalla rete
Negare l'accesso come processo batch
Negare l'accesso come servizio
Nega accesso locale
Nega accesso tramite Servizi Desktop remoto
Configurare il controllo per inviare avvisi se vengono apportate modifiche alle proprietà o all'appartenenza al gruppo Enterprise Admins.
Istruzioni dettagliate per la rimozione di tutti i membri dal gruppo Enterprise Admins
In Server Manager, fare clic su Strumenti, quindi su Utenti e computer di Active Directory.
Se non si gestisce il dominio radice per la foresta, nell'albero della console fare clic con il pulsante destro del mouse su <Dominio> e quindi fare clic su Cambia dominio (dove <Dominio> è il nome del dominio attualmente amministrato).
Nella finestra di dialogo Cambia dominio, fare clic su Sfoglia, selezionare il dominio radice per la foresta e fare clic su OK.
Per rimuovere tutti i membri dal gruppo EA:
Fare doppio clic sul gruppo Enterprise Admins e quindi sulla scheda Membri.
Selezionare un membro del gruppo, fare clic su Rimuovi, quindi fare clic su Sì e poi su OK.
Ripetere il passaggio 2 fino a quando non vengono rimossi tutti i membri del gruppo EA.
Istruzioni dettagliate per proteggere gli Enterprise Admins in Active Directory
In Server Manager, fare clic su Strumenti, quindi su Gestione Criteri di gruppo.
Nell'albero della console, espandere <Foresta>\Domini\<Dominio>, quindi Oggetti Criteri di gruppo (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si desidera impostare i Criteri di gruppo).
Nota
In una foresta che contiene domini multipli, è necessario creare un oggetto Criteri di gruppo simile in ogni dominio che richiede la protezione del gruppo Enterprise Admins.
Nell'albero della console, fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppo, quindi fare clic su Nuovo.
Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digitare <Nome oggetto Criteri di gruppo>e fare clic su OK (dove <Nome oggetto Criteri di gruppo> è il nome dell'oggetto Criteri di gruppo).
Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su <Nome oggetto Criteri di gruppo> e fare clic su Modifica.
Passare a Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali, quindi fare clic su Assegnazione diritti utente.
Configurare i diritti utente per impedire ai membri del gruppo Enterprise Admins di accedere ai server e alle workstation dei membri sulla rete eseguendo le seguenti operazioni:
Fare doppio clic su Nega accesso a questo computer dalla rete e selezionare Definisci queste impostazioni dei criteri.
Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.
Digitare Enterprise Admins, fare clic su Controlla nomi e fare clic su OK.
Fare clic su OK e di nuovo su OK.
Configurare i diritti utente per impedire ai membri del gruppo Enterprise Admins di accedere come processo batch effettuando le seguenti operazioni:
Fare doppio clic su Nega accesso come processo batch e selezionare Definisci queste impostazioni dei criteri.
Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.
Nota
In una foresta contenente domini multipli, fare clic su Percorsi e selezionare il dominio radice della foresta.
Digitare Enterprise Admins, fare clic su Controlla nomi e fare clic su OK.
Fare clic su OK e di nuovo su OK.
Configurare i diritti utente per impedire ai membri del gruppo EA di accedere come servizi effettuando le seguenti operazioni:
Fare doppio clic su Nega accesso come servizio e selezionare Definisci queste impostazioni dei criteri.
Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.
Nota
In una foresta contenente domini multipli, fare clic su Percorsi e selezionare il dominio radice della foresta.
Digitare Enterprise Admins, fare clic su Controlla nomi e fare clic su OK.
Fare clic su OK e di nuovo su OK.
Configurare i diritti utente per impedire ai membri del gruppo Enterprise Admins di accedere in locale ai server e alle workstation dei membri eseguendo le seguenti operazioni:
Fare doppio clic su Nega accesso locale e selezionare Definisci queste impostazioni dei criteri.
Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.
Nota
In una foresta contenente domini multipli, fare clic su Percorsi e selezionare il dominio radice della foresta.
Digitare Enterprise Admins, fare clic su Controlla nomi e fare clic su OK.
Fare clic su OK e di nuovo su OK.
Configurare i diritti utente per impedire ai membri del gruppo Enterprise Admins di accedere ai server e alle workstation membri tramite Servizi Desktop remoto effettuando le seguenti operazioni:
Fare doppio clic su Nega accesso tramite Servizi Desktop remoto e selezionare Definisci queste impostazioni dei criteri.
Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.
Nota
In una foresta contenente domini multipli, fare clic su Percorsi e selezionare il dominio radice della foresta.
Digitare Enterprise Admins, fare clic su Controlla nomi e fare clic su OK.
Fare clic su OK e di nuovo su OK.
Per uscire dall'Editor gestione Criteri di gruppo, fare clic su File, quindi su Esci.
In Gestione criteri di gruppo, collegare l'oggetto Criteri di gruppo alle unità organizzative del server membro e della workstation eseguendo le operazioni seguenti:
Passare a <Foresta>\Domini\<Dominio> (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si vuole impostare i Criteri di gruppo).
Fare clic con il pulsante destro del mouse sull'unità organizzativa a cui verrà applicato l'oggetto Criteri di gruppo e quindi su Collega un oggetto Criteri di gruppo esistente.
Selezionare l'oggetto Criteri di gruppo appena creato e fare clic su OK.
Creare collegamenti a tutte le altre unità organizzative che contengono workstation.
Creare collegamenti a tutte le altre unità organizzative che contengono server membri.
In una foresta che contiene domini multipli, è necessario creare un oggetto Criteri di gruppo simile in ogni dominio che richiede la protezione del gruppo Enterprise Admins.
Importante
Se i server di collegamento vengono utilizzati per amministrare i controller di dominio e Active Directory, verificare che i jump server si trovino in un'unità organizzativa a cui non sono collegati oggetti Criteri di gruppo restrittivi.
Passaggi di verifica
Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso al computer dalla rete"
Da qualsiasi server membro o workstation non interessati dalle modifiche dell'oggetto Criteri di gruppo (ad esempio un "jump server"), provare ad accedere a un server membro o workstation sulla rete interessata dalle modifiche dell'oggetto Criteri di gruppo. Per verificare le impostazioni dell'oggetto Criteri di gruppo, provare a eseguire il mapping dell'unità di sistema utilizzando il comando NET USE con i seguenti passaggi:
Accedere in locale usando un account che sia membro del gruppo Enterprise Admins.
Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.
Nella casella Cerca, digitare il prompt dei comandi, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi su Esegui come amministratore per aprire un prompt dei comandi con privilegi elevati.
Quando viene richiesto di approvare l'elevazione dei privilegi, fare clic su Sì.
Nella finestra Prompt dei comandi, digitare net use \\<Nome server>\c$, dove <Nome server> è il nome del server membro o della workstation a cui si sta tentando di accedere tramite la rete.
Il seguente screenshot mostra il messaggio di errore che deve essere visualizzato.
Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso come processo batch"
Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.
Creare un file batch
Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.
Nella casella Cerca, digitare Blocco note e fare clic su Blocco note.
Nel Blocco note, digitare dir c:.
Fare clic su File, quindi su Salva con nome.
Nella casella nome File digitare <Filename>.bat (dove <Filename> è il nome del nuovo file batch).
Pianificare un'attività
Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.
Nella casella Cerca, digitare Utilità di pianificazione, quindi fare clic su Utilità di pianificazione.
Nota
Nei computer che eseguono Windows 8, nella casella Cerca, digitare pianifica attività e fare clic su Pianifica attività.
Fare clic su Azione e quindi su Crea attività.
Nella finestra di dialogo Crea attività, digitare <Nome attività> (in cui <Nome attività> è il nome della nuova attività).
Fare clic sulla scheda Azioni, quindi su Nuova.
Nel campo Azione, selezionare Avvia un programma.
In Programma/script, fare clic su Sfoglia, individuare e selezionare il file batch creato nella sezione Crea un file batch e fare clic su Apri.
Fare clic su OK.
Fare clic sulla scheda Generale.
Nel campo Opzioni di sicurezza, fare clic su Cambia utente o gruppo.
Digitare il nome di un account membro del gruppo EA, fare clic su Controlla nomi, quindi fare clic su OK.
Selezionare Esegui se l'utente è connesso o meno e scegliere Non archiviare la password. L'attività avrà accesso solo alle risorse del computer locale.
Fare clic su OK.
Viene visualizzata una finestra di dialogo che richiede le credenziali dell'account utente per l'esecuzione dell'attività.
Dopo aver inserito le credenziali, fare clic su OK.
Verrà visualizzata una finestra di dialogo simile alla seguente.
Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso come servizio"
Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.
Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.
Nella casella Cerca, digitare servizi e fare clic su Servizi.
Individuare e fare doppio clic su Spooler di stampa.
Fare clic sulla scheda Accedi.
In Accedi come:, selezionare Questo account.
Fare clic su Sfoglia, digitare il nome di un account membro del gruppo EA, fare clic su Controlla nomi e selezionare OK.
In Password e Conferma password, digitare la password dell'account selezionato e fare clic su OK.
Fare clic su OK altre tre volte.
Fare clic con il pulsante destro del mouse su Servizio Spooler di stampa e selezionare Riavvia.
Quando il servizio viene riavviato, verrà visualizzata una finestra di dialogo simile alla seguente.
Ripristinare le modifiche al servizio di spooler della stampante
Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.
Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.
Nella casella Cerca, digitare servizi e fare clic su Servizi.
Individuare e fare doppio clic su Spooler di stampa.
Fare clic sulla scheda Accedi.
In Accedi come, selezionare l'account Sistema locale e fare clic su OK.
Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso in locale"
Da qualsiasi server membro o workstation interessati dalle modifiche dell'oggetto Criteri di gruppo, tentare di accedere in locale usando un account che sia membro del gruppo EA. Verrà visualizzata una finestra di dialogo simile alla seguente.
Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso tramite Servizi Desktop remoto"
Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.
Nella casella Cerca, digitare connessione desktop remoto e fare clic su Connessione desktop remoto.
Nel campo Computer, digitare il nome del computer a cui connettersi e quindi fare clic su Connetti. È anche possibile digitare l'indirizzo IP al posto del nome del computer.
Quando viene richiesto, specificare le credenziali di un account che sia membro del gruppo EA.
Verrà visualizzata una finestra di dialogo simile alla seguente.
