Delen via

Bijlage G: Beheerdersgroepen beveiligen in Active Directory

Bijlage G: Beheerdersgroepen beveiligen in Active Directory

Net als bij de groepen Enterprise Admins (EA) en Domain Admins (DA), moet lidmaatschap van de ingebouwde groep Administrators (BA) alleen vereist zijn in scenario's voor build- of noodherstel. Er mogen geen dagelijkse gebruikersaccounts in de groep Administrators zijn, met uitzondering van het ingebouwde administratoraccount voor het domein, als deze is beveiligd zoals beschreven in bijlage D: Built-In Administrator-accounts beveiligen in Active Directory.

Beheerders zijn standaard de eigenaren van de meeste AD DS-objecten in hun respectieve domeinen. Lidmaatschap van deze groep kan vereist zijn in scenario's voor bouwen of herstel na noodgevallen waarin eigendom of de mogelijkheid om eigenaar te worden van objecten is vereist. Daarnaast nemen CA's en EA's een aantal rechten en machtigingen over op grond van hun standaardlidmaatschap in de groep Administrators. Standaardgroep nesten voor bevoorrechte groepen in Active Directory mag niet worden gewijzigd en de groep Administrators van elk domein moet worden beveiligd zoals beschreven in de stapsgewijze instructies die volgen.

! LET OP: de stappen die in dit document worden beschreven, moeten grondig worden getest in een niet-productieomgeving voordat ze in productie worden uitgevoerd.

Voor de groep Administrators binnen elk domein in het bos.

  1. Verwijder alle leden uit de groep Administrators, met de mogelijke uitzondering van het ingebouwde Administrator-account voor het domein, mits deze is beveiligd zoals beschreven in bijlage D: Built-In Administrator-accounts beveiligen in Active Directory.

  2. In GPO's gelinkt aan OU's die lid-servers en werkstations in elk domein bevatten, moet de BA-groep worden toegevoegd aan de volgende gebruikersrechten in Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal Beleid\ Gebruikersrechten toewijzen:

    • Toegang tot deze computer weigeren vanuit het netwerk

    • Het aanmelden als batchtaak weigeren

    • Inloggen als een service ontzeggen

  3. Aan de OE domeincontrollers in elk domein in het bos dienen de groep Administrators de volgende gebruikersrechten te krijgen:

    • Toegang tot deze computer vanaf het netwerk

    • Lokaal aanmelden toestaan

    • Aanmelden via Extern bureaublad-services toestaan

  4. Controle moet worden geconfigureerd om waarschuwingen te verzenden als er wijzigingen worden aangebracht in de eigenschappen of het lidmaatschap van de groep Administrators.

Stapsgewijze instructies voor het verwijderen van alle leden uit de groep Administrators

  1. Klik in Serverbeheerop Extraen klik op Active Directory: gebruikers en computers.

  2. Voer de volgende stappen uit om alle leden uit de groep Administrators te verwijderen:

    1. Dubbelklik op de groep Beheerders en klik op het tabblad Leden.

      Schermopname van het tabblad Leden voor het verwijderen van alle leden uit de groep Administrators.

    2. Selecteer een lid van de groep, klik op Verwijderen, klik op Jaen klik op OK-.

  3. Herhaal stap 2 totdat alle leden van de groep Administrators zijn verwijderd.

Stapsgewijze instructies voor het beveiligen van beheerdersgroepen in Active Directory

  1. Klik in Serverbeheerop Extraen klik op Groepsbeleidsbeheer.

  2. Vouw in de consolestructuur <Forest>\Domains\<Domain>uit en Groepsbeleidsobjecten (waarbij <Forest> de naam van het forest is en <domein> de naam is van het domein waarin u het groepsbeleid wilt instellen).

  3. Klik in de consolestructuur met de rechtermuisknop op Groepsbeleidsobjectenen klik op Nieuw.

    schermopname die laat zien waar u Nieuw kunt selecteren, zodat u Beheerdersgroepen in Active Directory kunt beveiligen.

  4. Typ in het dialoogvenster Nieuw groepsbeleidsobject<groepsbeleidsobjectnaam>en klik op OK (waarbij groepsbeleidsobjectnaam de naam van dit groepsbeleidsobject is).

    Schermopname die laat zien waar u de G P O een naam kunt geven in het dialoogvenster Nieuw groepsbeleidsobject, zodat u beheerdersgroepen kunt beveiligen.

  5. Klik in het detailvenster met de rechtermuisknop op <GPO-naam>, en klik vervolgens op Bewerken.

  6. Navigeer naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleiden klik op toewijzing van gebruikersrechten.

    Schermopname waarin wordt weergegeven waar u kunt navigeren, zodat u de optie Gebruikersrechtenbeheerder kunt selecteren om beheerdersgroepen te beveiligen.

  7. Configureer de gebruikersrechten om te voorkomen dat leden van de groep Administrators toegang krijgen tot lidservers en werkstations via het netwerk door het volgende te doen:

    1. Dubbelklik op Toegang tot deze computer weigeren vanuit het netwerk en selecteer Deze beleidsinstellingen definiëren.

    2. Klik op gebruiker of groep toevoegen en klik op Bladeren.

    3. Typ beheerders, klik op Namen controlerenen klik op OK.

      Schermopname die laat zien hoe u kunt controleren of u de gebruikersrechten hebt geconfigureerd om te voorkomen dat leden van de groep Administrators toegang hebben tot lidservers en werkstations via het netwerk.

    4. Klik op OKen klik opnieuw op OK.

  8. Configureer de gebruikersrechten om te voorkomen dat leden van de groep Administrators zich kunnen aanmelden als een batchtaak.

    1. Dubbelklik op Aanmelden weigeren als batchtaak en selecteer Deze beleidsinstellingen instellen.

    2. Klik op gebruiker of groep toevoegen en klik op Bladeren.

    3. Typ Beheerders, klik op Namen controleren, en klik op OK.

      Schermopname die laat zien hoe u kunt controleren of u de gebruikersrechten hebt geconfigureerd om te voorkomen dat leden van de groep Administrators zich aanmelden als batchtaak.

    4. Klik op OK-, en klik vervolgens weer op OK-.

  9. Configureer de gebruikersrechten om te voorkomen dat leden van de groep Administrators zich kunnen aanmelden als een service door het volgende te doen:

    1. Dubbelklik op Log on als service weigeren en selecteer Deze beleidsinstellingen definiëren.

    2. Klik op gebruiker of groep toevoegen en klik op Bladeren.

    3. Typ beheerders, klik op Namen controlerenen klik op OK.

      Schermopname die laat zien hoe u kunt controleren of u de gebruikersrechten hebt geconfigureerd om te voorkomen dat leden van de groep Administrators zich aanmelden als een service.

    4. Klik op OK, en klik nogmaals op OK.

  10. Als u Editor voor groepsbeleidsbeheer wilt afsluiten, klikt u op Bestanden vervolgens op Afsluiten.

  11. In Groepsbeleidsbeheerkoppelt u het groepsbeleidsobject aan de OU's van de lidserver en werkstations door het volgende te doen:

    1. Navigeer naar het <Forest>>\Domains\<Domain> (waarbij <Forest> de naam van het forest is en <Domein> de naam is van het domein waarin u het groepsbeleid wilt instellen).

    2. Klik met de rechtermuisknop op de organisatie-eenheid waarop het groepsbeleidsobject wordt toegepast en klik op Een bestaand groepsbeleidsobject koppelen.

      Schermopname van de optie Een bestaande G P O-menu koppelen wanneer u met de rechtermuisknop op de organisatie-eenheid klikt.

    3. Selecteer de GPO die u zojuist hebt gemaakt en klik op OK.

      Schermafbeelding waarin wordt weergegeven waar u de GPO selecteert die u zojuist hebt gemaakt.

    4. Koppelingen maken naar alle andere organisatie-eenheden die werkstations bevatten.

    5. Koppelingen maken naar alle andere organisatie-eenheden die lidservers bevatten.

      Belangrijk

      Als jumpservers worden gebruikt voor het beheren van domeincontrollers en Active Directory, moet u ervoor zorgen dat jumpservers zich in een organisatie-eenheid bevinden waaraan deze GPO's niet zijn gekoppeld.

      Notitie

      Wanneer u beperkingen implementeert voor de groep Administrators in groepsbeleidsobjecten, past Windows de instellingen toe op leden van de lokale groep Administrators van een computer, naast de groep Administrators van het domein. Daarom moet u voorzichtig zijn bij het implementeren van beperkingen in de groep Administrators. Hoewel het verbieden van netwerk-, batch- en serviceaanmeldingen voor leden van de groep Administrators wordt geadviseerd waar dit ook haalbaar is om te implementeren, beperk lokale aanmeldingen of aanmeldingen via Extern Bureaublad Services niet. Als u deze aanmeldingstypen blokkeert, kan het legitieme beheer van een computer worden geblokkeerd door leden van de lokale groep Administrators.

      In de volgende schermopname ziet u configuratie-instellingen die misbruik van ingebouwde lokale en domeinbeheerdersaccounts blokkeren, naast misbruik van ingebouwde lokale of domeinbeheerdersgroepen. Houd er rekening mee dat het gebruikersrecht 'Aanmelden via Extern bureaublad-services weigeren' niet de groep Administrators bevat, omdat het opnemen ervan in deze instelling ook aanmeldingen zou blokkeren voor accounts die lid zijn van de groep Administrators van de lokale computer. Als services op computers zijn geconfigureerd om te worden uitgevoerd in de context van een van de bevoegde groepen die in deze sectie worden beschreven, kan het implementeren van deze instellingen ertoe leiden dat services en toepassingen mislukken. Daarom moet u, net als bij alle aanbevelingen in deze sectie, de instellingen voor toepasselijkheid in uw omgeving grondig testen.

      Schermopname van configuratie-instellingen die misbruik van ingebouwde lokale en domeinbeheerdersaccounts blokkeren.

Stapsgewijze instructies voor het verlenen van gebruikersrechten aan de beheerdersgroep

  1. Klik in Serverbeheerop Extraen klik op Groepsbeleidbeheer.

  2. Vouw in de consolestructuur <Forest>\Domains\<Domain>uit en Groepsbeleidsobjecten (waarbij <Forest> de naam van het forest is en <domein> de naam is van het domein waarin u het groepsbeleid wilt instellen).

  3. Klik in de consolestructuur met de rechtermuisknop op Groepsbeleidsobjectenen klik op Nieuw.

    Schermopname van het menu dat wordt weergegeven wanneer u met de rechtermuisknop op Groepsbeleidsobjecten klikt.

  4. Typ in het dialoogvenster Nieuw groepsbeleidsobject<groepsbeleidsobjectnaam>en klik op OK (waarbij <groepsbeleidsobjectnaam> de naam van dit groepsbeleidsobject is).

    Schermopname die laat zien waar u de G P O een naam kunt geven, zodat u Beheerdersgroepen kunt beveiligen.

  5. Klik in het detailvenster met de rechtermuisknop op <GPO-naam>en klik op Bewerken.

  6. Navigeer naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleiden klik op toewijzing van gebruikersrechten.

    Schermopname die laat zien waar u kunt navigeren, zodat u User Rights Admin kunt selecteren om beheerdersgroepen te beveiligen.

  7. Configureer de gebruikersrechten om leden van de groep Administrators toegang te geven tot domeincontrollers via het netwerk door het volgende te doen:

    1. Dubbelklik op Toegang tot deze computer vanuit het netwerk en kies definieer deze beleidsinstellingen.

    2. Klik op gebruiker of groep toevoegen en klik op Bladeren.

    3. Klik op Gebruiker of groep toevoegen en klik op Bladeren.

      Schermopname die laat zien hoe u kunt controleren of u de gebruikersrechten hebt geconfigureerd om leden van de groep Administrators toegang te geven tot domeincontrollers via het netwerk.

    4. Klik op OKen opnieuw OK.

  8. Configureer de gebruikersrechten zodat leden van de groep Administrators zich lokaal kunnen aanmelden:

    1. Dubbelklik op Lokaal aanmelden toestaan en selecteer Definieer deze beleidsinstellingen.

    2. Klik op gebruiker of groep toevoegen en klik op Bladeren.

    3. Typ administrators, klik op namencontroleren en klik op OK-.

      Schermopname die laat zien hoe u kunt controleren of u de gebruikersrechten hebt geconfigureerd zodat leden van de groep Administrators zich lokaal kunnen aanmelden.

    4. Klik op OK, en OK weer.

  9. Configureer de gebruikersrechten zodat leden van de groep Administrators zich als volgt kunnen aanmelden via Extern bureaublad-services:

    1. Dubbelklik op Aanmelden toestaan via Externe Desktopservices en selecteer Deze beleidsinstellingen definiëren.

    2. Klik op gebruiker of groep toevoegen en klik op Bladeren.

    3. Typ op beheerders, klik op Namen controlerenen klik op OK.

      Schermopname die laat zien hoe u kunt controleren of u de gebruikersrechten hebt geconfigureerd zodat leden van de groep Administrators zich kunnen aanmelden via Extern bureaublad-services.

    4. Klik op OKen klik op OK opnieuw.

  10. Als u Editor voor groepsbeleidsbeheer wilt afsluiten, klikt u op Bestanden klikt u op afsluiten .

  11. In Groepsbeleidsbeheer, koppelt u het groepsbeleidsobject aan de organisatie-eenheid domeincontrollers door de volgende stappen te volgen:

    1. Navigeer naar het <Forest>\Domains\<Domain> (waarbij <Forest> de naam van het forest is en <Domein> de naam is van het domein waarin u het groepsbeleid wilt instellen).

    2. Klik met de rechtermuisknop op de organisatie-eenheid voor domeincontrollers en klik op Een bestaand groepsbeleidsobject koppelen.

      Schermopname van de menuoptie Een bestaand groepsbeleidsobject koppelen wanneer u probeert de G P O te koppelen aan de organisatie-eenheid domeincontrollers.

    3. Selecteer het groepsbeleidsobject dat u zojuist hebt gemaakt en klik op OK.

      nl-NL: Schermopname die laat zien waar u het groepsbeleidsobject selecteert dat u zojuist hebt gemaakt terwijl u het GPO koppelt aan de werkstations en de server van de leden.

Verificatiestappen

Controleer 'Toegang tot deze computer weigeren vanuit het netwerk' GPO-instellingen

Vanaf een lidserver of werkstation dat niet wordt beïnvloed door de wijzigingen in het groepsbeleidsobject (zoals een jumpserver), probeert u toegang te krijgen tot een lidserver of werkstation via het netwerk dat wordt beïnvloed door de wijzigingen in het groepsbeleidsobject. Als u de GPO-instellingen wilt controleren, probeert u het systeemstation toe te wijzen met behulp van de opdracht NET USE.

  1. Meld u lokaal aan met een account dat lid is van de groep Administrators.

  2. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms balk wordt weergegeven, klikt u op Zoeken.

  3. Typ opdrachtprompt in het vak Zoeken, klik met de rechtermuisknop op opdrachtprompten klik vervolgens op Als administrator uitvoeren om een geëscaleerde opdrachtprompt te openen.

  4. Wanneer u wordt gevraagd om de uitbreiding goed te keuren, klikt u op Ja.

    Schermopname waarin het dialoogvenster Gebruikersaccountbeheer is gemarkeerd.

  5. Typ in het opdrachtprompt venster net use \\<Server Name>\c$, waarbij <Servernaam> de naam is van de lidserver of het werkstation dat u via het netwerk probeert te openen.

  6. In de volgende schermopname ziet u het foutbericht dat moet worden weergegeven.

    Schermopname waarin het foutbericht voor aanmeldingsfouten is gemarkeerd.

Controleer de instellingen voor het groepsbeleidsobject (GPO) voor "Weigeren van aanmelding als een batchtaak"

Log lokaal in op elke lidserver of elk werkstation dat door de wijzigingen in het groepsbeleidsobject wordt beïnvloed.

Een Batch-bestand maken

  1. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms balk wordt weergegeven, klikt u op Zoeken.

  2. In het vak Zoeken, typ kladbloken klik op Kladblok.

  3. Typ in Kladblokde opdracht dir c:in.

  4. Klik op Bestanden klik op Opslaan als.

  5. Typ in het veld bestandsnaam<bestandsnaam>.bat (waarbij <bestandsnaam> de naam is van het nieuwe batchbestand).

Een taak plannen

  1. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms balk wordt weergegeven, klikt u op Zoeken.

  2. Typ in het vak ZoekenTaakplanneren klik op Taakplanner.

    Notitie

    Op computers met Windows 8, typ 'taken plannen' in de zoekbalk en klik op 'Taken plannen'.

  3. Klik op actie-en klik op Taak maken.

  4. Typ in het dialoogvenster Taak maken<taaknaam> (waarbij <taaknaam> de naam van de nieuwe taak is).

  5. Klik op het tabblad Acties en klik op Nieuwe.

  6. Selecteer in het veld Actie de optie Een programma starten.

  7. Klik in het veld Program/script op Bladeren, zoek en selecteer het batchbestand dat is gemaakt in de sectie Een batchbestand maken en klik op Openen.

  8. Klik op OK-.

  9. Klik op het tabblad Algemeen.

  10. Klik in het veld Beveiligingsopties op Gebruiker of Groep Wijzigen.

  11. Typ de naam van een account dat lid is van de groep Administrators, klik op Namen controlerenen klik op OK.

  12. Selecteer Uitvoeren of de gebruiker al dan niet is aangemeld en Geen wachtwoord opslaan. De taak heeft alleen toegang tot lokale computerbronnen.

  13. Klik op OK-.

  14. Er moet een dialoogvenster worden weergegeven dat om inloggegevens van gebruikersaccounts vraagt om de taak uit te voeren.

  15. Nadat u het wachtwoord hebt ingevoerd, klikt u op OK.

  16. Er moet een dialoogvenster worden weergegeven dat er ongeveer als volgt uitziet.

    Schermopname waarin het dialoogvenster Taakplanner wordt gemarkeerd.

Controleer 'Aanmelden als een service weigeren' GPO-instellingen

  1. Log lokaal in vanaf elke lidserver of werkstation dat wordt beïnvloed door de GPO-wijzigingen.

  2. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms balk wordt weergegeven, klikt u op Zoeken.

  3. Typ in het vak zoeken servicesen klik op Services.

  4. Zoek en dubbelklik op Afdrukspooler.

  5. Klik op het tabblad Inloggen.

  6. Selecteer Dit accountin het veld Aanmelden als.

  7. Klik op Bladeren, typ de naam van een account dat lid is van de Administrators-groep, klik op Namen Controlerenen klik op OK.

  8. Typ in de velden Wachtwoord en Wachtwoord bevestigen het wachtwoord van het geselecteerde account en klik op OK-.

  9. Klik nog drie keer op OK.

  10. Klik met de rechtermuisknop op afdrukspooler en klik op Opnieuw opstarten.

  11. Wanneer de service opnieuw wordt opgestart, wordt er een dialoogvenster weergegeven dat er ongeveer als volgt uitziet.

    beveiligde beheerdersgroepen

Wijzigingen herstellen in de Printer-Spooler-service

  1. Log lokaal in vanaf elke lidserver of elk werkstation dat wordt beïnvloed door de wijzigingen in het groepsbeleidsobject.

  2. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms balk wordt weergegeven, klikt u op zoeken.

  3. Typ in het Zoek vak dienstenen klik op Services.

  4. Zoek en dubbelklik op Afdrukspooler.

  5. Klik op het tabblad Inloggen.

  6. Klik in het veld Aanmelden als op Lokale Systeemaccount en klik op OK.