Dela via

Bilaga F: Skydda domänadministratörsgrupper i Active Directory

Bilaga F: Skydda domänadministratörsgrupper i Active Directory

Precis som med gruppen Företagsadministratörer (EA) bör medlemskap i gruppen Domänadministratörer (DA) endast krävas i scenarier för bygg- eller haveriberedskap. Det bör inte finnas några dagliga användarkonton i DA-gruppen med undantag för det inbyggda administratörskontot för domänen, om det har skyddats enligt beskrivningen i bilaga D: Skydda Built-In administratörskonton i Active Directory.

Domänadministratörer är som standard medlemmar i de lokala administratörsgrupperna på alla medlemsservrar och arbetsstationer i sina respektive domäner. Den här standardkapslingen bör inte ändras av support- och katastrofåterställningsskäl. Om domänadministratörer har tagits bort från de lokala administratörsgrupperna på medlemsservrarna bör gruppen läggas till i gruppen Administratörer på varje medlemsserver och arbetsstation i domänen. Varje domäns domänadministratörsgrupp bör skyddas enligt beskrivningen i de stegvisa instruktionerna som följer.

För gruppen Domänadministratörer i varje domän i skogen:

  1. Ta bort alla medlemmar från gruppen, med möjligt undantag för det inbyggda administratörskontot för domänen, förutsatt att det har skyddats enligt beskrivningen i bilaga D: Skydda Built-In administratörskonton i Active Directory.

  2. I grupppolicyobjekt länkade till organisationsenheter som innehåller medlemsservrar och arbetsstationer i varje domän bör DA-gruppen läggas till i följande användarrättigheter i Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelningar av användarrättigheter:

    • Neka åtkomst till den här datorn från nätverket

    • Neka inloggning som ett batchjobb

    • Neka inloggning som en tjänst

    • Neka inloggning lokalt

    • Neka inloggning via användarrättigheter för Fjärrskrivbordstjänster

  3. Granskning bör konfigureras för att skicka aviseringar om några ändringar görs i egenskaperna eller medlemskapet i gruppen Domänadministratörer.

Stegvisa instruktioner för att ta bort alla medlemmar från gruppen Domänadministratörer

  1. I Serverhanterarenklickar du på Verktygoch klickar på Active Directory-användare och datorer.

  2. Utför följande steg för att ta bort alla medlemmar från DA-gruppen:

    1. Dubbelklicka på gruppen Domänadministratörer och klicka på fliken Medlemmar.

      Skärmbild som visar fliken Medlemmar för att ta bort alla medlemmar från gruppen Domänadministratörer.

    2. Välj en medlem i gruppen, klicka på Ta bort, klicka på Jaoch klicka på OK.

  3. Upprepa steg 2 tills alla medlemmar i DA-gruppen har tagits bort.

Stegvisa instruktioner för att skydda domänadministratörer i Active Directory

  1. I Serverhanterarenklickar du på Verktygoch klickar på Grupprinciphantering.

  2. I konsolträdet expanderar du <Forest>\Domains\<Domain>och grupprincipobjekt (där <Forest> är namnet på skogen och <Domän> är namnet på den domän där du vill ange grupprincipen).

  3. Högerklicka på grupprincipobjekti konsolträdet och klicka på Ny.

    Skärmbild som visar var du väljer Ny så att du kan skydda domänadministratörer i Active Directory.

  4. I dialogrutan Nytt grupprincipobjekt skriver du <GPO-namn>och klickar på OK (där <GPO-namn> är namnet på det här grupprincipobjektet).

    Skärmbild som visar var grupprincipobjektet ska namnges så att du kan skydda domänadministratörer i Active Directory.

  5. I informationsfönstret högerklickar du på <GPO-namn>och klickar på Redigera.

  6. Gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principeroch klicka på Tilldelning av användarrättigheter.

    Skärmbild som visar var du ska navigera så att du kan välja Administratör för användarrättigheter för att skydda domänadministratörer i Active Directory.

  7. Konfigurera användarrättigheterna för att förhindra att medlemmar i gruppen Domänadministratörer kommer åt medlemmars servrar och arbetsstationer via nätverket genom att göra följande:

    1. Dubbelklicka på Neka åtkomst till den här datorn från nätverket och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Domänadministratörer, klicka på Kontrollera namnoch klicka på OK.

      Skärmbild som visar hur du verifierar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i gruppen Domänadministratörer får åtkomst till medlemsservrar och arbetsstationer via nätverket.

    4. Klicka på OKoch OK igen.

  8. Konfigurera användarrättigheterna för att förhindra att medlemmar i DA-gruppen loggar in som ett batchjobb genom att göra följande:

    1. Dubbelklicka på Neka inloggning som ett batchjobb och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Domänadministratörer, klicka på Kontrollera namnoch klicka på OK.

      Skärmbild som visar hur du verifierar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i DA-gruppen loggar in som ett batchjobb.

    4. Klicka på OKoch OK igen.

  9. Konfigurera användarrättigheterna för att förhindra att medlemmar i DA-gruppen loggar in som en tjänst genom att göra följande:

    1. Dubbelklicka på Neka inloggning som en tjänst och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Domänadministratörer, klicka på Kontrollera namnoch klicka på OK.

      Skärmbild som visar hur du verifierar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i DA-gruppen loggar in som en tjänst.

    4. Klicka på OKoch OK igen.

  10. Konfigurera användarrättigheterna för att förhindra att medlemmar i gruppen Domänadministratörer loggar in lokalt på medlemsservrar och arbetsstationer genom att göra följande:

    1. Dubbelklicka på Neka inloggning lokalt och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Domänadministratörer, klicka på Kontrollera namnoch klicka på OK.

      Skärmbild som visar hur du verifierar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i gruppen Domänadministratörer loggar in lokalt på medlemsservrar och arbetsstationer.

    4. Klicka på OKoch OK igen.

  11. Konfigurera användarrättigheter för att förhindra att medlemmar i gruppen Domänadministratörer får åtkomst till medlemsservrar och arbetsstationer via Fjärrskrivbordstjänster genom att göra följande:

    1. Dubbelklicka på Neka inloggning via Fjärrskrivbordstjänster och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Domänadministratörer, klicka på Kontrollera namnoch klicka på OK.

      Skärmbild som visar hur du verifierar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i gruppen Domänadministratörer får åtkomst till medlemsservrar och arbetsstationer via Fjärrskrivbordstjänster

    4. Klicka på OKoch OK igen.

  12. Om du vill avsluta Redigeraren för grupprinciphanteringklickar du på Filoch klickar på Avsluta.

  13. I Grupprinciphantering länkar du grupprincipobjektet till de organisatoriska enheterna för medlemsservrar och arbetsstationer på följande sätt:

    1. Gå till <Forest>\Domains\<Domain> (där <Forest> är namnet på skogen och <Domain> är namnet på den domän där du vill ange grupprincipen).

    2. Högerklicka på organisationsenheten som grupprincipobjektet ska tillämpas på och klicka på Länka ett befintligt grupprincipobjekt.

      Skärmbild som visar menyalternativet Länka ett befintligt grupprincipobjekt när du högerklickar på den organisationsenhet som grupprincipobjektet ska tillämpas på.

    3. Välj det grupprincipobjekt som du nyss skapade och klicka på OK.

      Skärmbild som visar var du väljer det grupprincipobjekt som du nyss skapade när du länkar grupprincipobjektet till medlemsservern.

    4. Skapa länkar till alla andra organisationsenheter som innehåller arbetsstationer.

    5. Skapa länkar till alla andra organisationsenheter som innehåller medlemsservrar.

      Viktig

      Om jump-servrar används för att administrera domänkontrollanter och Active Directory, bör du säkerställa att jump-servrar finns i en organisationsenhet till vilken denna GPO inte är länkad.

Verifieringssteg

Kontrollera GPO-inställningarna "Neka åtkomst till den här datorn från nätverket"

Från en medlemsserver eller arbetsstation som inte påverkas av GPO-ändringarna (till exempel en "jump server"), försöker komma åt en medlemsserver eller arbetsstation via nätverket som påverkas av GPO-ändringarna. Kontrollera GPO-inställningarna genom att försöka mappa systemenheten med hjälp av kommandot NET USE.

  1. Logga in lokalt med ett konto som är medlem i gruppen Domänadministratörer.

  2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När fältet Snabbknappar visas klickar du på Sök.

  3. I rutan Search skriver du kommandotolken, högerklickar på Kommandotolkenoch klickar sedan på Kör som administratör för att öppna en förhöjd kommandotolk.

  4. När du uppmanas att godkänna höjningen klickar du på Ja.

    Skärmbild som visar var du godkänner höjningen när du verifierar inställningarna för att neka åtkomst till det här datornätverkets GPO.

  5. I fönstret Kommandotolken skriver du net use \\<Server Name>\c$, där <Server Name> är namnet på den medlemsserver eller arbetsstation som du försöker komma åt via nätverket.

  6. Följande skärmbild visar det felmeddelande som ska visas.

    Skärmbild som visar felmeddelandet som ska visas när du försöker komma åt medlemsservern.

Kontrollera GPO-inställningarna "Neka inloggning som ett batchjobb"

Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

Skapa en Batch-fil

  1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När fältet Snabbknappar visas klickar du på Sök.

  2. I rutan Sök skriver du Anteckningsblockoch klickar på Anteckningsblock.

  3. I Anteckningarskriver du dir c:.

  4. Klicka på Filoch klicka på Spara som.

  5. I fältet Filnamn skriver du <Filnamn>.bat (där <Filnamn> är namnet på den nya batchfilen).

Schemalägga en aktivitet

  1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När fältet Snabbknappar visas klickar du på Sök.

  2. I rutan Sök skriver du Aktivitetsschemaläggarenoch klickar på Aktivitetsschemaläggaren.

    Anteckning

    På datorer som kör Windows 8 skriver du schemalägg uppgifteri rutan Sök och klickar på Schemalägg uppgifter.

  3. I menyraden Schemaläggaren klickar du på Åtgärdoch klickar på Skapa uppgift.

  4. I dialogrutan Skapa aktivitet skriver du <aktivitetsnamn> (där <aktivitetsnamn> är namnet på den nya aktiviteten).

  5. Klicka på fliken Åtgärder och klicka på Ny.

  6. I fältet Åtgärd väljer du Starta ett program.

  7. Under Program/skriptklickar du på Bläddra, letar upp och väljer den batchfil som skapades i avsnittet Skapa en Batch-fil och klickar på Öppna.

  8. Klicka på OK.

  9. Klicka på fliken Allmänt.

  10. Under alternativ för Security klickar du på Ändra användare eller grupp.

  11. Skriv namnet på ett konto som är medlem i gruppen Domänadministratörer, klicka på Kontrollera namnoch klicka på OK.

  12. Välj Kör om användaren är inloggad eller inte och välj Lagra inte lösenord. Uppgiften har endast åtkomst till lokala datorresurser.

  13. Klicka på OK.

  14. En dialogruta ska visas och begära autentiseringsuppgifter för användarkontot för att köra uppgiften.

  15. När du har angett autentiseringsuppgifterna klickar du på OK.

  16. En dialogruta som liknar följande bör visas.

    Skärmbild som visar det fel som ska inträffa när du har angett autentiseringsuppgifterna.

Kontrollera GPO-inställningarna "Neka inloggning som en tjänst"

  1. Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

  2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När fältet Snabbknappar visas klickar du på Sök.

  3. I rutan Sök skriver du tjänsteroch klickar på Services.

  4. Hitta och dubbelklicka på utskriftsbuffert.

  5. Klicka på fliken Logga in.

  6. Under Logga in somväljer du alternativet Detta konto.

  7. Klicka på Bläddra, ange namnet på ett konto som är medlem i gruppen Domänadministratörer, klicka Kontrollera namnoch klicka på OK.

  8. Under Lösenord och Bekräfta lösenordskriver du det valda kontots lösenord och klickar på OK.

  9. Klicka på OK tre gånger till.

  10. Högerklicka på utskriftshanteraren och klicka på Starta om.

  11. När tjänsten startas om bör en dialogruta som liknar följande visas.

    Skärmbild som visar dialogrutan som visas när tjänsten har startats om.

Återställ ändringar till skrivarspoolertjänsten

  1. Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

  2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När fältet Snabbknappar visas klickar du på Sök.

  3. I rutan Sök skriver du tjänsteroch klickar på Services.

  4. Leta upp och dubbelklicka på utskriftshanteraren.

  5. Klicka på fliken Logga in.

  6. Under Logga in somväljer du kontot Local System och klickar på OK.

Kontrollera GPO-inställningarna "Neka inloggning lokalt"

  1. Från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna försöker du logga in lokalt med ett konto som är medlem i gruppen Domänadministratörer. En dialogruta som liknar följande bör visas.

    säkra domänadministratörsgrupper

Kontrollera GPO-inställningarna "Neka inloggning via Fjärrskrivbordstjänster"

  1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När fältet Snabbknappar visas klickar du på Sök.

  2. I rutan Sök skriver du anslutning till fjärrskrivbordoch klickar på Anslutning till fjärrskrivbord.

  3. I fältet Dator skriver du namnet på den dator som du vill ansluta till och klickar på Anslut. (Du kan också ange IP-adressen i stället för datornamnet.)

  4. När du uppmanas till det anger du autentiseringsuppgifter för ett konto som är medlem i gruppen Domänadministratörer.

  5. En dialogruta som liknar följande bör visas.

    Skärmbild som visar meddelandet som anger att inloggningsmetoden du använder inte är tillåten.