共用方式為

附錄 E︰保護 Active Directory 中的 Enterprise Admins 群組

附錄 E︰保護 Active Directory 中的 Enterprise Admins 群組

位於樹系根網域內的 Enterprise Admins (EA) 群組每一天都不應該包含任何使用者,但根域系統管理員帳戶例外,前提是其受到保護,如附錄 D:保護 Active Directory 中的內建系統管理員帳戶中所述。

根據預設,Enterprise Admins 是樹系中每個網域的 Administrator 群組的成員。 您不應該從每個網域的 Administrator 群組中移除 EA 群組,因為在發生樹系災害復原案例時,可能需要 EA 權限。 樹系的 Enterprise Admins 群組都應該受到保護,如後續的逐步指示中所述。

針對樹系中 Enterprise Admins 群組的成員:

  1. 在連結至 OU 的 GPO 中 (OU 包含每個網域的成員伺服器和工作站),Enterprise Admins 群組應該新增至[電腦設定\原則\Windows 設定\安全性設定\本機原則\使用者權限指派]中的下列使用者權限:

    • 拒絕從網路存取這台電腦

    • 拒絕以批次工作登入

    • 拒絕以服務方式登入

    • 拒絕本機登入

    • 拒絕透過遠端桌面服務登入

  2. 如果對 Enterprise Admins 群組的屬性或成員資格進行了任何修改,請設定稽核以傳送警示。

從 Enterprise Admins 群組移除所有成員的逐步指示

  1. [伺服器管理員] 中,依序按一下[工具][Active Directory 使用者和電腦]

  2. 如果您未管理樹系的根網域,請在主控台樹中,以滑鼠右鍵按一下<Domain>,然後按一下[變更網域] (其中 <Domain> 是您目前正在管理的網域名稱)。

    醒目提示 [變更網域] 功能表選項的螢幕快照。

  3. [變更網域]對話方塊中,按一下[瀏覽],選取樹系的根網域,然後按一下[確定]

    顯示 [變更網域] 對話框中 [確定] 按鈕的螢幕快照。

  4. 若要從 EA 群組中移除所有成員:

    1. 按兩下[Enterprise Admins]群組,然後按一下[成員]索引標籤。

      顯示 [企業系統管理員] 群組內 [成員] 索引標籤的螢幕快照。

    2. 選取群組的成員,按一下[移除][是],然後按一下[確定]

  5. 重複步驟 2,直到 DA 群組的所有成員均已移除為止。

保護 Active Directory 中 Enterprise Admins 群組的逐步指示

  1. [伺服器管理員]中按一下[工具],然後按一下[群組原則管理]

  2. 在主控台樹狀目錄中,展開 <Forest>\網域\<Domain>,然後展開[群組原則物件] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您要設定群組原則的網域名稱)。

    注意

    在包含多個網域的樹系中,應該在每個需要保護 Enterprise Admins 群組的網域中建立類似的 GPO。

  3. 在主控台樹狀目錄中的[群組原則物件]上按一下滑鼠右鍵,然後按一下[新增]

    顯示 [組策略物件] 功能表中 [新增] 功能表選項的螢幕快照。

  4. [新增 GPO]對話方塊中。輸入<GPO 名稱>,然後按一下[確定](其中<GPO 名稱>是此 GPO 的名稱)。

    此螢幕快照顯示輸入 GPO 名稱的位置,並選取來源起始 GPO。

  5. 在詳細資料窗格上的<[GPO 名稱]>按一下滑鼠右鍵,然後按一下[編輯]

  6. 導覽至[電腦設定\原則\Windows 設定\安全性設定\本機原則],然後按一下[使用者權限指派]

    顯示選取 [用戶權力指派] 位置的螢幕快照。

  7. 設定使用者權限,以避免 Enterprise Admins 群組的成員透過網路存取成員伺服器和工作站,方法如下:

    1. 按兩下[拒絕從網路存取這台電腦],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      此螢幕快照顯示如何確認您已設定用戶權力,以防止 Enterprise Admins 群組的成員透過網路存取成員伺服器和工作站。

    4. 按一下[確定],然後再按一下[確定]

  8. 設定使用者權限,以避免 Enterprise Admins 群組的成員以批次工作方式登入,方法如下:

    1. 按兩下[拒絕以批次工作方式登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

      注意

      在包含多個網域的樹系中,按一下[位置] ,然後選取樹系的根網域。

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      此螢幕快照顯示如何確認您已設定用戶權力,以防止 Enterprise Admins 群組的成員以批次作業身分登入。

    4. 按一下[確定],然後再按一下[確定]

  9. 設定使用者權限,以避免 EA 群組的成員以服務方式登入,方法如下:

    1. 按兩下[拒絕以服務方式登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

      注意

      在包含多個網域的樹系中,按一下[位置] ,然後選取樹系的根網域。

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      此螢幕快照顯示如何確認您已設定用戶權力,以防止EA群組的成員以服務身分登入。

    4. 按一下[確定],然後再按一下[確定]

  10. 設定使用者權限,以避免 Enterprise Admins 群組的成員在本機登入成員伺服器和工作站,方法如下:

    1. 按兩下[拒絕本機登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

      注意

      在包含多個網域的樹系中,按一下[位置] ,然後選取樹系的根網域。

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      此螢幕快照顯示如何確認您已設定用戶權力,以防止 Enterprise Admins 群組的成員在本機登入成員伺服器和工作站。

    4. 按一下[確定],然後再按一下[確定]

  11. 設定使用者權限,以防止 Enterprise Admins 群組成員透過遠端桌面服務來存取成員伺服器和工作站,方法如下:

    1. 按兩下[允許透過遠端桌面服務登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

      注意

      在包含多個網域的樹系中,按一下[位置] ,然後選取樹系的根網域。

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      此螢幕快照顯示如何確認您已設定用戶權力,以防止 Enterprise Admins 群組的成員透過遠端桌面服務存取成員伺服器和工作站。

    4. 按一下[確定],然後再按一下[確定]

  12. 若要結束[群組原則管理編輯器],請按一下[檔案],然後按一下[結束]

  13. [群組原則管理]中,將 GPO 連結至成員伺服器和工作站 OU,方法如下:

    1. 導覽至 [<Forest>\網域\<Domain>] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您想要在其中設定群組原則的網域名稱)。

    2. 在要套用 GPO 的 OU 上按滑鼠右鍵,然後按一下[連結現有 GPO]

      醒目提示 [鏈接現有 GPO] 選單選項的螢幕快照。

    3. 選取您剛才建立的 GPO,然後按一下[確定]

      顯示您剛才建立之 GPO 的位置螢幕快照。

    4. 針對包含工作站的其他所有 OU 建立連結。

    5. 針對包含成員伺服器的其他所有 OU 建立連結。

    6. 在包含多個網域的樹系中,應該在每個需要保護 Enterprise Admins 群組的網域中建立類似的 GPO。

重要

如果使用跳躍伺服器來管理網域控制站和 Active Directory,請確認跳躍伺服器位於未連結此 GPO 的 OU 中。

驗證步驟

驗證「拒絕從網路存取這台電腦」GPO 設定

從任何不受 GPO 變更影響的成員伺服器或工作站 (例如「跳躍伺服器」),嘗試透過受 GPO 變更影響的網路,存取成員伺服器或工作站。 若要驗證 GPO 設定,請使用 NET USE 命令嘗試對應系統磁碟機:

  1. 使用 EA 群組成員的帳戶在本機登入。

  2. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入[命令提示],以滑鼠右鍵按一下[命令提示字元],然後按一下[以系統管理員身分執行],以開啟已提高權限的命令提示字元。

  4. 系統提示核准提高權限時,請按一下[是]

    顯示您核准提高許可權之對話框的螢幕快照。

  5. [命令提示字元]視窗中,輸入 net use \\<Server Name>\c$,其中 <Server Name> 是您嘗試透過網路存取的成員伺服器或工作站名稱。

  6. 下列螢幕擷取畫面會顯示應該出現的錯誤訊息。

    顯示應該顯示之錯誤訊息的螢幕快照。

確認「拒絕以批次工作登入」GPO 設定

透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

建立批次檔

  1. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入記事本,然後按一下[記事本]

  3. [記事本]中,輸入[dir c:]

  4. 按一下[檔案],然後按一下[另存新檔]

  5. [檔案]名稱方塊中,輸入<Filename>.bat(其中<Filename>是新批次檔的名稱)。

排定工作

  1. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入[工作排程器],然後按一下[工作排程器]

    注意

    在執行 Windows 8 的電腦上,於[搜尋]方塊中輸入排程工作,然後按一下[排程工作]

  3. 按一下[動作],然後按一下[建立工作]

  4. [建立工作]對話方塊中,輸入工作名稱<> (其中<工作名稱>是新工作的名稱)。

  5. 按一下[動作]索引標籤,然後按一下[新增]

  6. [動作]欄位中,選取[啟動程式]

  7. [程式/指令碼]欄位中,按一下[瀏覽],找到並選取在[建立批次檔]區段中建立的批次檔 ,然後按一下[開啟]

  8. 按一下 [確定]

  9. 按一下 [General] \(一般\) 索引標籤。

  10. [安全性選項]欄位中,按一下[變更使用者或群組]

  11. 輸入 EA 群組成員的帳戶名稱,按一下[檢查名稱],然後按一下[確定]

  12. 選取[不論使用者是否登入皆執行]以及[不要儲存密碼]。 該工作只能存取本機電腦資源。

  13. 按一下 [確定]

  14. 應該會出現對話方塊,要求取得使用者帳戶認證來執行工作。

  15. 輸入認證之後,按一下[確定]

  16. 應該會出現類似下列的對話方塊。

    顯示 [工作排程器] 對話框的螢幕快照。

確認「拒絕以服務方式登入」GPO 設定

  1. 透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入服務,然後按一下[服務]

  4. 找到[列印多工緩衝處理器]並按兩下。

  5. 按一下[登入]索引標籤。

  6. [登入身分:]下方,選取[此帳戶]

  7. 按一下[瀏覽],輸入屬於 EAS 群組成員的帳戶名稱、按一下[檢查名稱],然後按一下[確定]

  8. [密碼][確認密碼]欄位中,輸入選取的帳戶密碼,然後按一下[確定]

  9. 再按[確定]三次。

  10. [列印多工緩衝處理器]服務上按一下滑鼠右鍵,然後選取[重新啟動]

  11. 重新啟動服務時,應該會出現類似下列的對話方塊。

    顯示 Windows 無法啟動列印多任務緩衝處理器伺服器的訊息螢幕快照。

將變更還原為「列印多工緩衝處理器服務」

  1. 透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入服務,然後按一下[服務]

  4. 找到[列印多工緩衝處理器]並按兩下。

  5. 按一下[登入]索引標籤。

  6. [登入身分]中,選擇[本機系統]帳戶,然後按一下[確定]

確認 [拒絕在本機登入] GPO 設定

  1. 從受 GPO 變更影響的任何成員伺服器或工作站,嘗試使用屬於 EA 群組成員的帳戶在本機登入。 應該會出現類似下列的對話方塊。

    顯示訊息的螢幕快照,指出您正在使用的登入方法不允許。

確認「拒絕透過遠端桌面服務登入」GPO 設定

  1. 使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入遠端桌面連線,然後按一下[遠端桌面連線]

  3. [電腦]欄位中輸入您要連線的電腦名稱,然後按一下[連線]。 (您也可以不輸入電腦名稱而改為輸入 IP 位址。)

  4. 出現提示時,請提供屬於 EA 群組成員之帳戶的認證。

  5. 應該會出現類似下列的對話方塊。

    保護企業系統管理員群組