Condividi tramite

Appendice F: Protezione dei gruppi Domain Admins in Active Directory

Appendice F: Protezione dei gruppi Domain Admins in Active Directory

Come avviene con il gruppo Enterprise Admins (EA), l'appartenenza ai gruppi Domain Admins (DA) è necessaria solo in scenari di compilazione o di ripristino di emergenza. Non dovrebbe esserci alcun account di utenti del gruppo DA, fatta eccezione per l'account amministratore predefinito per il dominio, se è stato protetto come descritto in Appendice D: protezione account Administrator predefiniti in Active Directory.

Domain Admins sono, per impostazione predefinita, i membri del gruppo Administrators locale su tutti i server membri e le workstation nei rispettivi domini. La nidificazione predefinita non deve essere modificata per scopi di supportabilità e di ripristino di emergenza. Se i Domain Admins sono stati rimossi dai gruppi di amministratori locali nei server membri, il gruppo deve essere aggiunto al gruppo Administrators in ogni server membro e workstation nel dominio. Il gruppo Domain Admins di ogni dominio deve essere protetto come descritto nelle istruzioni dettagliate che seguono.

Per il gruppo Domain Admins in ogni dominio nella foresta:

  1. Rimuovere tutti i membri dal gruppo, con la possibile eccezione dell'account amministratore predefinito per il dominio, purché sia stata impostata come descritto in Appendice D: protezione account Administrator predefiniti in Active Directory.

  2. Negli oggetti Criteri di gruppo collegati alle unità organizzative contenenti server membri e workstation in ogni dominio, il gruppo DA deve essere aggiunto ai diritti utente seguenti in Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazioni diritti utente:

    • Nega accesso al computer dalla rete

    • Negare l'accesso come processo batch

    • Negare l'accesso come servizio

    • Nega accesso locale

    • Nega accesso tramite i diritti utente di Servizi Desktop remoto

  3. Il controllo deve essere configurato per l'invio di avvisi se vengono apportate modifiche per le proprietà o l'appartenenza al gruppo Domain Admins.

Istruzioni dettagliate per la rimozione di tutti i membri dal gruppo Domain Admins

  1. In Server Manager, fare clic su Strumenti, quindi su Utenti e computer di Active Directory.

  2. Per rimuovere tutti i membri dal gruppo DA, seguire questa procedura:

    1. Fare doppio clic sul gruppo Domain Admins, quindi fare clic sulla scheda Membri.

      Screenshot che mostra la scheda Membri per rimuovere tutti i membri dal gruppo Domain Admins.

    2. Selezionare un membro del gruppo, fare clic su Rimuovi, quindi fare clic su e poi suOK.

  3. Ripetere il passaggio 2 fino a quando non vengono rimossi tutti i membri del gruppo DA.

Istruzioni dettagliate per proteggere i Domain Admin in Active Directory

  1. In Server Manager, fare clic su Strumenti, quindi su Gestione Criteri di gruppo.

  2. Nell'albero della console, espandere <Foresta>\Domini\<Dominio>, quindi Oggetti Criteri di gruppo (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si desidera impostare i Criteri di gruppo).

  3. Nell'albero della console, fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppo, quindi fare clic su Nuovo.

    Screenshot che mostra dove selezionare Nuovo in modo che sia possibile proteggere Gli amministratori di dominio in Active Directory.

  4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digitare <Nome oggetto Criteri di gruppo>e fare clic su OK (dove <Nome oggetto Criteri di gruppo> è il nome dell'oggetto Criteri di gruppo).

    Screenshot che mostra dove assegnare un nome all'oggetto Criteri di gruppo in modo che sia possibile proteggere Gli amministratori di dominio in Active Directory.

  5. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su <Nome oggetto Criteri di gruppo> e fare clic su Modifica.

  6. Passare a Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali, quindi fare clic su Assegnazione diritti utente.

    Screenshot che mostra dove spostarsi in modo da poter selezionare User Rights Admin per proteggere Domain Admins in Active Directory.

  7. Configurare i diritti utente per impedire ai membri del gruppo Domain Admins di accedere ai server e alle workstation dei membri sulla rete eseguendo le seguenti operazioni:

    1. Fare doppio clic su Nega accesso a questo computer dalla rete e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Domain Admins, fare clic su Controlla nomi, quindi su OK.

      Screenshot che mostra come verificare che i diritti utente siano stati configurati per impedire ai membri del gruppo Domain Admins di accedere a server membri e workstation in rete.

    4. Fare di nuovo clic su OK e su OK.

  8. Configurare i diritti utente per impedire ai membri del gruppo DA di accedere come processo batch effettuando le seguenti operazioni:

    1. Fare doppio clic su Nega accesso come processo batch e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Domain Admins, fare clic su Controlla nomi, quindi su OK.

      Screenshot che mostra come verificare che i diritti utente siano stati configurati per impedire ai membri del gruppo DA di accedere come processo batch.

    4. Fare di nuovo clic su OK e su OK.

  9. Configurare i diritti utente per impedire ai membri del gruppo DA di accedere come servizi effettuando le seguenti operazioni:

    1. Fare doppio clic su Nega accesso come servizio e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Domain Admins, fare clic su Controlla nomi, quindi su OK.

      Screenshot che mostra come verificare che i diritti utente siano stati configurati per impedire ai membri del gruppo DA di accedere come servizio.

    4. Fare di nuovo clic su OK e su OK.

  10. Configurare i diritti utente per impedire ai membri del gruppo Domain Admins di accedere in locale ai server e alle workstation dei membri eseguendo le seguenti operazioni:

    1. Fare doppio clic su Nega accesso locale e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Domain Admins, fare clic su Controlla nomi, quindi su OK.

      Screenshot che mostra come verificare di aver configurato i diritti utente per impedire ai membri del gruppo Domain Admins di accedere localmente a server membri e workstation.

    4. Fare di nuovo clic su OK e su OK.

  11. Configurare i diritti utente per impedire ai membri del gruppo Domain Admins di accedere ai server e alle workstation membri tramite Servizi Desktop remoto effettuando le seguenti operazioni:

    1. Fare doppio clic su Nega accesso tramite Servizi Desktop remoto e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Domain Admins, fare clic su Controlla nomi, quindi su OK.

      Screenshot che mostra come verificare di aver configurato i diritti utente per impedire ai membri del gruppo Domain Admins di accedere a server membri e workstation tramite Servizi Desktop remoto

    4. Fare clic su OK e di nuovo su OK.

  12. Per uscire dall'Editor gestione Criteri di gruppo, fare clic su File, quindi su Esci.

  13. In Gestione criteri di gruppo, collegare l'oggetto Criteri di gruppo alle unità organizzative del server membro e della workstation eseguendo le operazioni seguenti:

    1. Passare a <Foresta>\Domini\<Dominio> (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si vuole impostare i Criteri di gruppo).

    2. Fare clic con il pulsante destro del mouse sull'unità organizzativa a cui verrà applicato l'oggetto Criteri di gruppo e quindi su Collega un oggetto Criteri di gruppo esistente.

      Screenshot che mostra l'opzione di menu Collega un oggetto Criteri di gruppo esistente quando si fa clic con il pulsante destro del mouse sull'unità organizzativa a cui verrà applicato l'oggetto Criteri di gruppo.

    3. Selezionare l'oggetto Criteri di gruppo appena creato e fare clic su OK.

      Screenshot che mostra dove selezionare l'oggetto Criteri di gruppo appena creato durante il collegamento dell'oggetto Criteri di gruppo al server membro.

    4. Creare collegamenti a tutte le altre unità organizzative che contengono workstation.

    5. Creare collegamenti a tutte le altre unità organizzative che contengono server membri.

      Importante

      Se i server di collegamento vengono utilizzati per amministrare i controller di dominio e Active Directory, verificare che i jump server si trovino in un'unità organizzativa a cui non sono collegati oggetti Criteri di gruppo restrittivi.

Passaggi di verifica

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso al computer dalla rete"

Da qualsiasi server membro o workstation non interessati dalle modifiche dell'oggetto Criteri di gruppo (ad esempio un "jump server"), provare ad accedere a un server membro o workstation sulla rete interessata dalle modifiche dell'oggetto Criteri di gruppo. Per verificare le impostazioni dell'oggetto Criteri di gruppo, provare a eseguire il mapping dell'unità di sistema utilizzando il comando NET USE.

  1. Accedere in locale usando un account che sia membro del gruppo Domain Admins.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare il prompt dei comandi, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi su Esegui come amministratore per aprire un prompt dei comandi con privilegi elevati.

  4. Quando viene richiesto di approvare l'elevazione dei privilegi, fare clic su .

    Screenshot che mostra dove approvare l'elevazione dei privilegi durante la verifica delle impostazioni nega l'accesso a questo oggetto Criteri di gruppo di rete del computer.

  5. Nella finestra Prompt dei comandi, digitare net use \\<Nome server>\c$, dove <Nome server> è il nome del server membro o della workstation a cui si sta tentando di accedere tramite la rete.

  6. Il seguente screenshot mostra il messaggio di errore che deve essere visualizzato.

    Screenshot che mostra il messaggio di errore che dovrebbe essere visualizzato durante il tentativo di accssing al server membro.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso come processo batch"

Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

Creare un file batch

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare Blocco note e fare clic su Blocco note.

  3. Nel Blocco note, digitare dir c:.

  4. Fare clic su File, quindi su Salva con nome.

  5. Nel campo Nome file digitare <Filename>.bat (dove <Filename> è il nome del nuovo file batch).

Pianificare un'attività

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare Utilità di pianificazione, quindi fare clic su Utilità di pianificazione.

    Nota

    Nei computer che eseguono Windows 8, nella casella Cerca, digitare pianifica attività e fare clic su Pianifica attività.

  3. Nella barra del menu Utilità di pianificazione, fare clic su Azione, quindi su Crea attività.

  4. Nella finestra di dialogo Crea attività, digitare <Nome attività> (in cui <Nome attività> è il nome della nuova attività).

  5. Fare clic sulla scheda Azioni, quindi su Nuova.

  6. Nel campo Azione, selezionare Avvia un programma.

  7. In Programma/script, fare clic su Sfoglia, individuare e selezionare il file batch creato nella sezione Crea un file batch e fare clic su Apri.

  8. Fare clic su OK.

  9. Fare clic sulla scheda Generale.

  10. Nelle opzioni di Sicurezza, fare clic su Cambia utente o gruppo.

  11. Digitare il nome di un account membro del gruppo Domain Admins, fare clic su Controlla nomi, quindi fare clic su OK.

  12. Selezionare Esegui se l'utente è connesso o meno e selezionare Non archiviare la password. L'attività avrà accesso solo alle risorse del computer locale.

  13. Fare clic su OK.

  14. Viene visualizzata una finestra di dialogo che richiede le credenziali dell'account utente per l'esecuzione dell'attività.

  15. Dopo aver inserito le credenziali, fare clic su OK.

  16. Verrà visualizzata una finestra di dialogo simile alla seguente.

    Screenshot che mostra l'errore che deve verificarsi dopo aver immesso le credenziali.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso come servizio"

  1. Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare servizi e fare clic su Servizi.

  4. Individuare e fare doppio clic su Spooler di stampa.

  5. Fare clic sulla scheda Accedi.

  6. In Accedi come selezionare l'opzione Questo account.

  7. Fare clic su Sfoglia, digitare il nome di un account membro del gruppo Domain Admins, fare clic su Controlla nomi, quindi fare clic su OK.

  8. In Password e Conferma password, digitare la password dell'account selezionato e fare clic su OK.

  9. Fare clic su OK altre tre volte.

  10. Fare clic con il pulsante destro del mouse su Spooler di stampa, quindi su Riavvia.

  11. Quando il servizio viene riavviato, verrà visualizzata una finestra di dialogo simile alla seguente.

    Screenshot che mostra la finestra di dialogo visualizzata dopo il riavvio del servizio.

Ripristinare le modifiche al servizio di spooler della stampante

  1. Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare servizi e fare clic su Servizi.

  4. Individuare e fare doppio clic su Spooler di stampa.

  5. Fare clic sulla scheda Accedi.

  6. In Accedi come, selezionare l'account Sistema locale e fare clic su OK.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso in locale"

  1. Da qualsiasi server membro o workstation interessati dalle modifiche dell'oggetto Criteri di gruppo, tentare di accedere in locale usando un account che sia membro del gruppo Domain Admins. Verrà visualizzata una finestra di dialogo simile alla seguente.

    gruppi di amministratori di dominio sicuro

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso tramite Servizi Desktop remoto"

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare connessione desktop remoto e fare clic su Connessione desktop remoto.

  3. Nel campo Computer, digitare il nome del computer a cui connettersi e fare clic su Connetti. È anche possibile digitare l'indirizzo IP al posto del nome del computer.

  4. Quando viene richiesto, specificare le credenziali di un account che sia membro del gruppo Domain Admins.

  5. Verrà visualizzata una finestra di dialogo simile alla seguente.

    Screenshot che mostra il messaggio che indica che il metodo di accesso in uso non è consentito.