共用方式為


附錄 I︰為 Active Directory 中的受保護帳戶和群組建立管理帳戶

實作未依賴高特殊權限群組中永久成員資格的 Active Directory 模型,其中一個挑戰在於,需要群組中的暫時成員資格時,必須要有一個機制來填入這些群組。 某些特權身分識別管理解決方案需要軟體的服務帳戶在樹系各網域中獲授與 DA 或 Administrators 這類群組的永久成員資格。 不過,在技術上,Privileged Identity Management (PIM) 解決方案不需要在這類高度特殊權限的內容中執行其服務。

本附錄所提供的資訊可讓您用於原生實作或協力廠商 PIM 解決方案,以建立具有有限權限且可嚴格控制的帳戶,但在需要暫時提高權限時,也可以使用此帳戶以在 Active Directory 中填入特殊權限群組。 如果您要將 PIM 實作為原生解決方案,則系統管理人員可能會使用這些帳戶來執行暫存群組母體擴展,而且,如果您要透過協力廠商軟體來實作 PIM,則可能可以調整這些帳戶以作為服務帳戶。

注意

本附錄中所述的程序提供一種方式來管理 Active Directory 中的高特殊權限群組。 您可以調整這些程序以符合您的需求、新增其他限制,或省略此處所述的一些限制。

為 Active Directory 中的受保護帳戶和群組建立管理帳戶

建立可用來管理特殊權限群組成員資格的帳戶,而不需要將過多的權利和權限授與管理帳戶,包含下列逐步指示中所述的四個一般活動:

  1. 首先,您應該建立群組來管理帳戶,因為這些帳戶應該由一組有限的受信任使用者來管理。 如果您還沒有 OU 結構可配合隔離特殊權限和受保護帳戶及系統與網域中的一般母體,則您應該建立 OU 結構。 雖然本附錄中未提供特定指示,但螢幕擷取畫面顯示這類 OU 階層的範例。

  2. 建立管理帳戶。 這些帳戶應該建立為「一般」使用者帳戶,而且預設不會獲授與已授與使用者的使用者權限以外的使用者權限。

  3. 除了控制誰可以啟用和使用帳戶之外 (您在第一個步驟中建立的群組),還會針對建立這些帳戶的特殊用途來實作管理帳戶的限制。

  4. 設定每個網域中 AdminSDHolder 物件的權限,以允許管理帳戶變更網域中特殊權限群組的成員資格。

您應該先徹底測試所有這些程序,並視需要針對您的環境進行修改,再於生產環境中予以實作。 您也應該確認所有設定都如預期般運作 (本附錄中提供一些測試程序),而且您應該測試無法用來填入受保護群組以進行復原用途的災害復原案例。 如需備份和還原 Active Directory 的詳細資訊,請參閱 AD DS 備份和復原逐步指南

注意

實作本附錄中所述的步驟,您將會建立可管理每個網域中所有受保護群組成員資格的帳戶,而不只是 EA、DA 和 BA 這類最高權限 Active Directory 群組。 如需 Active Directory 中受保護群組的詳細資訊,請參閱附錄 C︰Active Directory 中受保護的帳戶和群組

為受保護群組建立管理帳戶的逐步指示

建立群組以啟用和停用管理帳戶

管理帳戶應該在每次使用時重設其密碼,並且應該在需要管理帳戶的活動完成時將其停用。 雖然您可能也會考慮實作這些帳戶的智慧卡登入需求,但這是選用設定,而且這些指示假設管理帳戶已設定使用者名稱和冗長的複雜密碼作為最低的控制。 在此步驟中,您將建立群組,而此群組具有在管理帳戶上重設密碼以及啟用和停用帳戶的權限。

若要建立群組以啟用和停用管理帳戶,請執行下列步驟:

  1. 在您將要放置管理帳戶的 OU 結構中,以滑鼠右鍵按一下您想要建立群組的 OU,並按一下 [新增],然後按一下 [群組]

    顯示如何選取 [群組] 選單選項的螢幕快照。

  2. 在 [新增物件 - 群組] 對話方塊中,輸入群組的名稱。 如果您打算使用此群組來「啟用」樹系中的所有管理帳戶,則請將其設為萬用安全性群組。 如果您有單一網域樹系,或打算在每個網域中建立群組,則可以建立全域安全性群組。 按一下 [確定] 以建立群組。

    顯示 [新增物件 - 群組] 對話框中輸入組名位置的螢幕快照。

  3. 在您剛剛建立的群組上按一下滑鼠右鍵,按一下 [內容] ,然後按一下 [物件] 索引標籤。在群組的 [物件屬性] 對話方塊中,選取 [保護物件以防止被意外刪除],除非先取消選取該屬性,否則這不僅可以防止其他授權使用者刪除群組,還可以防止將其移至另一個 OU。

    顯示 [物件] 索引標籤的螢幕快照。

    注意

    如果您已設定群組上層 OU 的權限將系統管理限制為一組有限的使用者,則可能不需要執行下列步驟。 此處提供它們,因此,即使您尚未對建立此群組的 OU 結構實作有限的系統管理控制,還是可以保護群組免於未經授權使用者的修改。

  4. 按一下 [成員] 索引標籤,然後新增團隊成員的帳戶,而團隊成員將負責視需要啟用管理帳戶或填入受保護群組。

    顯示 [成員] 索引標籤上帳戶的螢幕快照。

  5. 如果您尚未這麼做,則請按一下 [Active Directory 使用者和電腦] 主控台中的 [檢視],然後選取 [進階功能]。 以滑鼠右鍵按一下您剛建立的群組,並按一下 [內容],然後按一下 [安全性] 索引標籤。在 [安全性] 索引標籤上,按一下 [進階]

    顯示 [安全性] 索引標籤上 [進階] 按鈕的螢幕快照。

  6. 在 [[群組] 的進階安全性設定] 對話方塊中,按一下 [停用繼承]。 系統出現提示時,請按一下 [將繼承的權限轉換成此物件中的明確權限],然後按一下 [確定] 以返回群組的 [安全性] 對話方塊。

    此螢幕快照顯示選取 [將繼承的許可權轉換成此對象上明確許可權] 選項的位置。

  7. 在 [安全性] 索引標籤上,移除不應該允許存取此群組的群組。 例如,如果您不想讓已驗證的使用者能夠讀取群組的名稱和一般屬性,則可以移除該 ACE。 您也可以移除 ACE,例如帳戶操作員和 Windows 2000 Server 前相容存取的 ACE。 不過,您應該保留一組最少的物件權限。 將下列 ACE 保持不變:

    • SELF

    • 系統

    • Domain Admins

    • Enterprise Admins

    • 系統管理員

    • Windows 授權存取群組 (如果適用)

    • 企業網域控制站

    雖然在 Active Directory 中允許最高特殊權限群組管理此群組似乎不合時宜,但實作這些設定的目標並不是防止這些群組的成員進行授權的變更。 相反地,目標是確定當您需要非常高的限制層級時,授權的變更將會成功。 基於這個理由,在此文件中,不建議變更預設特殊權限群組巢狀處理、權利和權限。 讓預設結構保持不變,並清空目錄中最高權限群組的成員資格,即可建立仍如預期般運作的更安全環境。

    顯示 [已驗證使用者的許可權] 區段的螢幕快照。

    注意

    如果您尚未針對建立此群組之 OU 結構中的物件設定稽核原則,則應該設定稽核來記錄此群組的變更。

  8. 您已完成群組的設定,而群組將會在需要時用來「簽出」管理帳戶,並在其活動已完成時「簽入」帳戶。

建立管理帳戶

您至少應該建立一個帳戶來管理 Active Directory 安裝中特殊權限群組的成員資格,而且最好第二個帳戶作為備份。 無論您選擇在樹系的單一網域中建立管理帳戶,並將所有網域受保護群組的管理功能授與這些管理帳戶,還是選擇在樹系的每個網域中實作管理帳戶,程序實際上都相同。

注意

本文件中的步驟假設您尚未實作 Active Directory 的角色型存取控制和特殊權限身分識別管理。 因此,某些程序必須由帳戶是有問題網域之 Domain Admins 群組成員的使用者執行。

您要使用具有 DA 權限的帳戶時,可以登入網域控制站來執行設定活動。 已登入系統管理工作站的較低權限帳戶可以執行不需要 DA 權限的步驟。 顯示以較淺藍色框住對話方塊的螢幕擷取畫面,代表可以對網域控制站執行的活動。 以較深藍色顯示對話方塊的螢幕擷取畫面,代表可以使用具有有限權限的帳戶對系統管理工作站所執行的活動。

若要建立管理帳戶,請執行下列步驟:

  1. 使用網域 DA 群組成員的帳戶來登入網域控制站。

  2. 啟動 [Active Directory 使用者和電腦],然後瀏覽至您將要在其中建立管理帳戶的 OU。

  3. 以滑鼠右鍵按一下 OU,並按一下 [新增],然後按一下 [使用者]

  4. 在 [新增物件 - 使用者] 對話方塊中,輸入您所需的帳戶命名資訊,然後按 [下一步]

    顯示輸入命名資訊位置的螢幕快照。

  5. 提供使用者帳戶的初始密碼,並清除 [使用者必須在下次登入時變更密碼],再選取 [使用者不能變更密碼] 和 [帳戶已停用],然後按 [下一步]

    顯示提供初始密碼位置的螢幕快照。

  6. 確認帳戶詳細資料正確,然後按一下 [完成]

  7. 以滑鼠右鍵按一下您剛建立的使用者物件,然後按一下 [內容]

  8. 按一下 [帳戶] 索引標籤。

  9. 在 [帳戶選項] 欄位中,選取 [這是機密帳戶,無法委派] 旗標,並選取 [這個帳戶支援 Kerberos AES 128 位元加密] 和/或 [這個帳戶支援 Kerberos AES 256 加密] 旗標,然後按一下 [確定]

    顯示您應該選取選項的螢幕快照。

    注意

    因為此帳戶與其他帳戶一樣將會具有有限但功能強大的功能,所以帳戶應該只用於安全系統管理主機上。 針對您環境中的所有安全系統管理主機,您應該考慮實作群組原則設定 [網路安全性: 設定允許為 Kerberos 使用的加密類型],只允許針對安全主機所實作的最安全加密類型。

    雖然為主機實作更安全的加密類型並不會減輕認證竊取攻擊,但適當地使用和設定安全主機確實可以。 針對只有特殊權限帳戶才能使用的主機設定更強的加密類型,只會減少電腦的整體受攻擊面。

    如需在系統和帳戶上設定加密類型的詳細資訊,請參閱 Kerberos 所支援加密類型的 Windows 設定

    只有執行 Windows Server 2012、Windows Server 2008 R2、Windows 8 或 Windows 7 的電腦才支援這些設定。

  10. 在 [物件] 索引標籤上,選取 [保護物件以防止被意外刪除]。 除非具有變更屬性權限的使用者先清除此核取方塊,否則這不只會防止刪除物件 (即使是經過授權的使用者也是一樣),也會防止將其移至 AD DS 階層中的不同 OU。

    顯示 [物件] 索引標籤上 [保護物件免於意外刪除] 選項的螢幕快照。

  11. 按一下 [遠端控制] 索引標籤。

  12. 清除 [啟用遠端控制] 旗標。 支援人員應該絕對不需要連線至此帳戶的工作階段來實作修正。

    顯示已清除 [啟用遠端控制] 選項的螢幕快照。

    注意

    Active Directory 中的每個物件都應該有指定的 IT 擁有者和指定的商務擁有者,如規劃危害因應措施中所述。 如果您要追蹤 Active Directory 中 AD DS 物件的擁有權 (而不是外部資料庫),則應該在此物件的屬性中輸入適當的擁有權資訊。

    在此情況下,企業主最有可能是 IT 部門,而且不會禁止企業主也是 IT 擁有者。 建立物件擁有權的重點是讓您在需要對物件進行變更時識別連絡人,可能是從最初建立算起的好幾年。

  13. 按一下 [組織] 索引標籤。

  14. 輸入 AD DS 物件標準中所需的任何資訊。

    此螢幕快照顯示在AD DS物件標準中輸入所需資訊的位置。

  15. 按一下 [撥入] 索引標籤。

  16. 在 [網路存取權限] 欄位中,選取 [拒絕存取]。此帳戶應該絕對不需要透過遠端連線進行連線。

    顯示 [拒絕存取] 選項的螢幕快照。

    注意

    此帳戶不可能用來登入您環境中的唯讀網域控制站 (RODC)。 不過,如果曾經需要帳戶登入 RODC,則您應該將此帳戶新增至 [拒絕的 RODC 密碼複寫群組],使其密碼不會在 RODC 上予以快取。

    雖然應該在每次使用之後重設帳戶的密碼,而且應該停用帳戶,但實作此設定並不會對帳戶造成有害效果,而且在系統管理員忘記重設帳戶密碼並停用帳戶的情況下可能有所幫助。

  17. 按一下 [成員隸屬] 索引標籤。

  18. 按一下新增

  19. 在 [選取使用者、連絡人、電腦] 對話方塊中,輸入 [拒絕的 RODC 密碼複寫群組],然後按一下 [檢查名稱]。 物件選擇器中的群組名稱加上底線時,按一下 [確定],並確認帳戶現在是下列螢幕擷取畫面中所顯示兩個群組的成員。 請不要將帳戶新增至任何受保護群組。

  20. 按一下 [確定]

    顯示 [確定] 按鈕的螢幕快照。

  21. 按一下 [安全性] 索引標籤,然後按一下 [進階]

  22. 在 [進階安全性設定] 對話方塊中,按一下 [停用繼承],並將繼承的權限複製為明確權限,然後按一下 [新增]

    顯示 [封鎖繼承] 對話框的螢幕快照。

  23. 在 [[帳戶] 的權限項目] 對話方塊中,按一下 [選取主體],然後新增您在上一個程序中所建立的群組。 捲動至對話方塊底端,然後按一下 [全部清除] 以移除所有預設權限。

    顯示 [全部清除] 按鈕的螢幕快照。

  24. 捲動至 [權限項目] 對話方塊頂端。 確定 [類型] 下拉式清單設定為 [允許],然後在 [適用於] 下拉式清單中選取 [只有這個物件]

  25. 在 [權限] 欄位中,選取 [讀取所有屬性]、[讀取權限] 和 [重設密碼]

    顯示 [讀取所有屬性]、[讀取許可權] 和 [重設密碼] 選項的螢幕快照。

  26. 在 [屬性] 欄位中,選取 [讀取 userAccountControl] 和 [寫入 userAccountControl]

  27. 按一下 [確定],然後再按一下 [進階安全性設定] 對話方塊中的 [確定]

    顯示 [進階安全性設定] 對話框中 [確定] 按鈕的螢幕快照。

    注意

    userAccountControl 屬性可控制多個帳戶設定選項。 當您將寫入權限授與屬性時,無法授與只變更部分設定選項的權限。

  28. 在 [安全性] 索引標籤的 [群組或使用者名稱] 欄位中,移除任何不應該允許存取或管理帳戶的群組。 請不要移除任何已設定 [拒絕 ACE] 的群組 (例如 Everyone 群組和 SELF 計算帳戶) (該 ACE 是在建立帳戶期間啟用 [使用者不能變更密碼] 旗標時所設定)。 此外,請不要移除您剛新增的群組、SYSTEM 帳戶或是 EA、DA、BA 或 Authorization Access 群組這類群組。

    顯示 [安全性] 索引標籤上 [群組或使用者名稱] 區段的螢幕快照。

  29. 按一下 [進階],並確認 [進階安全性設定] 對話方塊看起來與下列螢幕擷取畫面類似。

  30. 按一下 [確定],再按一下 [確定] 來關閉帳戶的屬性對話方塊。

    顯示 [進階安全性設定] 對話框的螢幕快照。

  31. 現在已完成第一個管理帳戶的設定。 您將會在稍後的程序中測試帳戶。

建立其他管理帳戶

您可以重複先前的步驟、複製您剛建立的帳戶或建立指令碼來建立具有所需組態設定的帳戶,以建立其他管理帳戶。 不過,請注意,如果您複製剛建立的帳戶,則不會將許多自訂的設定和 ACL 複製至新的帳戶,而且您將必須重複大部分的設定步驟。

您可以改為建立可委派權限的群組來填入和取消填入受保護群組,但將需要保護群組和其中所放置的帳戶。 因為目錄中應該有很少的帳戶獲授與管理受保護群組成員資格的能力,因此建立個別帳戶可能是最簡單的方式。

無論您選擇如何建立在其中放置管理帳戶的群組,都應該確定每個帳戶都受到保護,如先前所述。 您也應該考慮實作類似附錄 D︰保護 Active Directory 中的內建 Administrator 帳戶中所述的 GPO 限制。

稽核管理帳戶

您應該在帳戶上設定稽核,以最少記錄所有對帳戶的寫入。 這不僅可讓您識別成功啟用帳戶以及在授權使用期間重設其密碼,還可以識別未經授權使用者操作帳戶的嘗試。 帳戶上的失敗寫入應該擷取至安全性資訊和事件監視 (SIEM) 系統 (若適用),而且應該觸發警示,以向負責調查潛在危害的人員提供通知。

SIEM 解決方案會從涉及的安全性來源 (例如事件記錄檔、應用程式資料、網路資料流、反惡意程式碼產品和入侵偵測來源) 來取得事件資訊、整理資料,並嘗試進行智慧型檢視和主動動作。 有許多商業 SIEM 解決方案,而且許多企業會建立私人實作。 設計良好且適當實作的 SIEM 可以大幅增強安全性監視和事件回應功能。 不過,解決方案的功能和精確度會有很大的差異。 SIEM 超出本文的範圍,但任何 SIEM 實作者都應該考慮所包含的特定事件建議。

如需建議網域控制站稽核組態設定的詳細資訊,請參閱監視 Active Directory 遭到危害的徵兆監視 Active Directory 遭到危害的徵兆中提供網域控制站特定組態設定。

啟用管理帳戶以修改受保護群組的成員資格

在此程序中,您將設定網域 AdminSDHolder 物件的權限,以允許新建立的管理帳戶修改網域中受保護群組的成員資格。 此程序無法透過圖形化使用者介面 (GUI) 來執行。

附錄 C︰Active Directory 中受保護的帳戶和群組中所討論,網域 AdminSDHolder 物件上的 ACL 會在 SDProp 工作執行時有效地「複製」至受保護物件。 受保護群組和帳戶不會從 AdminSDHolder 物件繼承其權限;其權限會明確設定為符合 AdminSDHolder 物件上的權限。 因此,當您修改 AdminSDHolder 物件的權限時,必須針對適合所鎖定受保護物件類型的屬性對其進行修改。

在此情況下,您將會授與新建立的管理帳戶,以允許其讀取和寫入群組物件上的 members 屬性。 不過,AdminSDHolder 物件不是群組物件,而且圖形化 ACL 編輯器中不會公開群組屬性。 基於這個理由,您將透過 Dsacls 命令列公用程式來實作權限變更。 若要將修改受保護群組成員資格的權限授與 (已停用的) 管理帳戶,請執行下列步驟:

  1. 使用已成為網域中 DA 群組成員的使用者帳戶認證,來登入網域控制站 (最好是持有 PDC 模擬器 (PDCE) 角色的網域控制站)。

    此螢幕快照顯示要輸入使用者帳戶認證的位置。

  2. 以滑鼠右鍵按一下 [命令提示字元],然後按一下 [以系統管理員身分執行],以開啟提高權限的命令提示字元。

    顯示 [以系統管理員身分執行] 功能表選項的螢幕快照。

  3. 系統提示核准提高權限時,請按一下[是]

    顯示選取 [是] 以核准提高許可權位置的螢幕快照。

    注意

    如需 Windows 中提高權限和使用者帳戶控制 (UAC) 的詳細資訊,請參閱 TechNet 網站上的 UAC 程序和互動

  4. 在命令提示字元中,輸入 (替代網域特定資訊) Dsacls [您網域中 AdminSDHolder 物件的辨別名稱] /G [管理帳戶 UPN]:RPWP;member

    顯示命令提示字元的螢幕快照。

    上一個命令 (不區分大小寫) 的運作方式如下:

    • Dsacls 會在目錄物件上設定或顯示 ACE

    • CN=AdminSDHolder,CN=System,DC=TailSpinToys,DC=msft 會識別要修改的物件

    • /G 指出正在設定授與 ACE

    • PIM001@tailspintoys.msft 是將授與 ACE 之安全性主體的使用者主體名稱 (UPN)

    • RPWP 授與讀取屬性和寫入屬性權限

    • 成員是將對其設定權限的屬性名稱

    如需使用 Dsacls 的詳細資訊,請在命令提示字元中輸入未含任何參數的 Dsacls。

    如果您已為網域建立多個管理帳戶,則應該針對每個帳戶執行 Dsacls 命令。 當您已完成 AdminSDHolder 物件上的 ACL 設定時,應該強制執行 SDProp,或等到其排程的執行完成。 如需強制執行 SDProp 的相關資訊,請參閱附錄 C︰Active Directory 中受保護的帳戶和群組中的<手動執行 SDProp>。

    SDProp 執行時,您可以確認您對 AdminSDHolder 物件所進行的變更已套用至網域中的受保護群組。 您因先前所述的原因而無法透過檢視 AdminSDHolder 物件上的 ACL 來進行確認,但您可以檢視受保護群組上的 ACL 來確認已套用權限。

  5. 在 [Active Directory 使用者和電腦] 中,確認您已啟用 [進階功能]。 若要這樣做,請按一下 [檢視],並找到 [Domain Admins] 群組,再以滑鼠右鍵按一下群組,然後按一下 [內容]

  6. 按一下 [安全性] 索引標籤,然後按一下 [進階] 以開啟 [Domain Admins 的進階安全性設定] 對話方塊。

    顯示如何開啟 [網域系統管理員的進階安全性設定] 對話框的螢幕快照。

  7. 選取 [允許管理帳戶的 ACE],然後按一下 [編輯]。 確認帳戶只獲授與 DA 群組的 [讀取成員] 和 [寫入成員] 權限,然後按一下 [確定]

  8. 按一下 [進階安全性設定] 對話方塊中的 [確定],然後再按一下 [確定] 以關閉 DA 群組的屬性對話方塊。

    顯示如何關閉屬性對話框的螢幕快照。

  9. 您可以針對網域中的其他受保護群組重複先前的步驟;所有受保護群組的權限都應該相同。 您現在已完成建立和設定此網域中受保護群組的管理帳戶。

    注意

    任何有權在 Active Directory 中寫入群組成員資格的帳戶也可以將自己新增至群組。 此行為經過設計,無法予以停用。 基於這個理由,您一律應該停用未使用的管理帳戶,而且應該密切監視停用的帳戶和使用中的帳戶。

驗證群組和帳戶組態設定

既然您已建立和設定可修改網域中受保護群組 (包括最高特殊權限的 EA、DA 和 BA 群組) 成員資格的管理帳戶,則應該確認已適當地建立帳戶和其管理群組。 驗證包含下列一般工作:

  1. 測試可啟用和停用管理帳戶的群組,以確認群組成員可以啟用和停用帳戶並重設其密碼,但無法在管理帳戶上執行其他系統管理活動。

  2. 測試管理帳戶,以確認其可以在網域的受保護群組中新增和移除成員,但無法變更受保護帳戶和群組的任何其他屬性。

測試將啟用和停用管理帳戶的群組
  1. 若要測試啟用管理帳戶並重設其密碼,請使用您在附錄 I︰為 Active Directory 中的受保護帳戶和群組建立管理帳戶中所建立群組成員的帳戶來登入安全系統管理工作站。

    顯示如何登入您建立群組成員之帳戶的螢幕快照。

  2. 開啟 [Active Directory 使用者和電腦],並以滑鼠右鍵按一下管理帳戶,然後按一下 [啟用帳戶]

    醒目提示 [啟用帳戶] 功能表選項的螢幕快照。

  3. 應該會顯示對話方塊,確認已啟用帳戶。

    顯示帳戶已啟用的螢幕快照。

  4. 接下來,重設管理帳戶上的密碼。 若要這樣做,請再次以滑鼠右鍵按一下帳戶,然後按一下 [重設密碼]

    醒目提示 [重設密碼] 功能表選項的螢幕快照。

  5. 在 [新密碼] 和 [確認密碼] 欄位中,輸入帳戶的新密碼,然後按一下 [確定]

    顯示輸入新密碼位置的螢幕快照。

  6. 應該會出現對話方塊,確認已重設帳戶的密碼。

    顯示確認帳戶密碼已重設之訊息的螢幕快照。

  7. 現在,請嘗試修改管理帳戶的其他屬性。 以滑鼠右鍵按一下帳戶,並按一下 [內容],然後按一下 [遠端控制] 索引標籤。

  8. 選取 [啟用遠端控制],然後按一下 [套用]。 作業應該會失敗,而且應該會顯示 [拒絕存取] 錯誤訊息。

    顯示拒絕存取錯誤的螢幕快照。

  9. 按一下帳戶的 [帳戶] 索引標籤,然後嘗試變更帳戶名稱、登入時數或登入工作站。 所有項目都應該會失敗,而且未受 userAccountControl 屬性控制的帳戶選項應該會呈現灰色,並且無法進行修改。

    顯示 [帳戶] 索引標籤的螢幕快照。

  10. 嘗試將管理群組新增至受保護群組,例如 DA 群組。 當您按一下 [確定] 時,應該會出現一則訊息,通知您沒有修改群組的權限。

    顯示訊息的螢幕快照,告知您沒有修改群組的許可權。

  11. 視需要執行其他測試,確認除了 userAccountControl 設定和密碼重設之外,您無法在管理帳戶上設定任何項目。

    注意

    userAccountControl 屬性可控制多個帳戶設定選項。 當您將寫入權限授與屬性時,無法授與只變更部分設定選項的權限。

測試管理帳戶

既然您已啟用一或多個可變更受保護群組成員資格的帳戶,則可以測試帳戶,以確定其可以修改受保護群組成員資格,但無法對受保護帳戶和群組執行其他修改。

  1. 以第一個管理帳戶身分登入安全系統管理主機。

    顯示如何登入安全系統管理主機的螢幕快照。

  2. 啟動 [Active Directory 使用者和電腦],然後找到 [Domain Admins 群組]

  3. 以滑鼠右鍵按一下 [Domain Admins] 群組,然後按一下 [內容]

    螢幕擷取畫面:醒目提示 [屬性] 功能表選項。

  4. 在 [Domain Admins 內容] 對話方塊中,按一下 [成員] 索引標籤,然後按一下 [新增]。 輸入將獲給予暫時 Domain Admins 權限的帳戶名稱,然後按一下 [檢查名稱]。 帳戶名稱加上底線時,請按一下 [確定] 返回 [成員] 索引標籤。

    此螢幕快照顯示新增將獲授與暫時網域系統管理員許可權之帳戶名稱的位置。

  5. 在 [Domain Admins 內容] 對話方塊的 [成員] 索引標籤上,按一下 [套用]。 按一下 [套用] 之後,帳戶應該會保持為 DA 群組的成員,而且您應該不會收到任何錯誤訊息。

    顯示 [網域管理員內容] 對話框中 [成員] 索引標籤的螢幕快照。

  6. 按一下 [Domain Admins 內容] 對話方塊中的 [管理者] 索引標籤,並確認您無法在任何欄位中輸入文字,而且所有按鈕都呈現灰色。

    顯示 [管理依據] 索引標籤的螢幕快照。

  7. 按一下 [Domain Admins 內容] 對話方塊中的 [一般] 索引標籤,並確認您無法修改該索引標籤的任何資訊。

    建立管理帳戶

  8. 視需要,針對其他受保護群組,重複這些步驟。 當您完成時,請使用您所建立群組成員的帳戶登入安全系統管理主機,以啟用和停用管理帳戶。 然後重設您剛測試過管理帳戶的密碼,並停用帳戶。 您已完成管理帳戶以及負責啟用和停用帳戶之群組的設定。