共用方式為

附錄 F︰保護 Active Directory 中的 Domain Admins 群組

附錄 F︰保護 Active Directory 中的 Domain Admins 群組

如同 Enterprise Admins (EA) 群組的情況,Domain Administrators (DA) 群組中的成員資格只有在組建或災害復原案例中才需要。 DA 群組中不應該有日常使用者帳戶,該網域內建的 Administrator 帳戶除外 (如已依照附錄 D︰保護 Active Directory 中的內建的 Administrator 帳戶描述而受保護)。

根據預設,Domain Admins 是其各自網域中所有成員伺服器和工作站上本機 Administrators 群組的成員。 此預設情境不應針對支援性和災害復原目的進行修改。 如果已從成員伺服器上的本機 Administrators 群組中移除 Domain Admins,該群組應該新增至網域中每個成員伺服器和工作站上的 Administrators 群組。 每個網域的 Domain Admins 群組都應該受到保護,如後續的逐步指示中所述。

針對樹系中每個網域中的 Domain Admins 群組:

  1. 請從 Administrators 群組中移除所有成員,該網域內建的 Administrator 帳戶除外 (如已依照附錄 D︰保護 Active Directory 中的內建的 Administrator 帳戶描述,受保護的話)。

  2. 在連結至 OU 的 GPO 中 (OU 包含每個網域的成員伺服器和工作站),DA 群組應新增至電腦設定\原則\Windows 設定\安全性設定\本機原則\使用者權限指派中的下列使用者權限:

    • 拒絕從網路存取這台電腦

    • 拒絕以批次工作登入

    • 拒絕以服務方式登入

    • 拒絕本機登入

    • 拒絕透過遠端桌面服務使用者權限登入

  3. 如果對 Domain Admins 群組的屬性或成員資格進行任何修改,應該設定稽核以傳送警示。

從 Domain Admins 群組移除所有成員的逐步指示

  1. [伺服器管理員]中,依序按一下[工具][Active Directory 使用者和電腦]

  2. 若要從 DA 群組移除所有成員,請執行下列步驟:

    1. 按兩下[Domain Admins]群組,然後按一下[成員]索引標籤。

      顯示 [成員] 索引標籤的螢幕快照,用於從 [網域管理員群組] 移除所有成員。

    2. 選取群組的成員,按一下[移除][是],然後按一下[確定]

  3. 重複步驟 2,直到 DA 群組的所有成員均已移除為止。

保護 Active Directory 中 Domain Admins 群組的逐步指示

  1. [伺服器管理員]中按一下[工具],然後按一下[群組原則管理]

  2. 在主控台樹狀目錄中,展開<樹系>\網域\<[網域]>,然後展開[群組原則物件](其中<[樹系]>是樹系的名稱,而<[網域]>是您要設定群組原則的網域名稱)。

  3. 在主控台樹狀目錄中的[群組原則物件]上按一下滑鼠右鍵,然後按一下[新增]

    此螢幕快照顯示選取 [新增] 的位置,讓您可以在Active Directory 中保護網域管理員。

  4. [新增 GPO]對話方塊中。輸入<GPO 名稱>,然後按一下[確定](其中<GPO 名稱>是此 GPO 的名稱)。

    此螢幕快照顯示要命名 GPO 的位置,讓您可以在 Active Directory 中保護網域管理員。

  5. 在詳細資料窗格上的<[GPO 名稱]>按一下滑鼠右鍵,然後按一下[編輯]

  6. 導覽至[電腦設定\原則\Windows 設定\安全性設定\本機原則],然後按一下[使用者權限指派]

    顯示流覽位置的螢幕快照,讓您可以選取 [用戶權力管理員] 來保護 Active Directory 中的網域系統管理員。

  7. 設定使用者權限,以避免 Domain Admins 群組的成員透過網路存取成員伺服器和工作站,方法如下:

    1. 按兩下[拒絕從網路存取這台電腦],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      此螢幕快照顯示如何確認您已設定用戶權力,以防止 Domain Admins 群組的成員透過網路存取成員伺服器和工作站。

    4. 按一下 [確定],然後再按一下[確定]

  8. 設定使用者權限,以避免 DA 群組的成員以批次工作方式登入,方法如下:

    1. 按兩下[拒絕以批次工作登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      此螢幕快照顯示如何確認您已設定用戶權力,以防止DA群組的成員以批次作業身分登入。

    4. 按一下 [確定],然後再按一下[確定]

  9. 設定使用者權限,以避免 DA 群組的成員以服務方式登入,方法如下:

    1. 按兩下 [拒絕以服務方式登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      此螢幕快照顯示如何確認您已設定用戶權力,以防止DA群組的成員以服務身分登入。

    4. 按一下 [確定],然後再按一下[確定]

  10. 設定使用者權限,以避免 Domain Admins 群組的成員透過網路存取成員伺服器和工作站,方法如下:

    1. 按兩下[拒絕本機登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      此螢幕快照顯示如何確認您已設定用戶權力,以防止 Domain Admins 群組的成員在本機登入成員伺服器和工作站。

    4. 按一下 [確定],然後再按一下[確定]

  11. 設定使用者權限,以防止 Administrator 帳戶透過遠端桌面服務來存取成員伺服器和工作站,作法如下:

    1. 按兩下[允許透過遠端桌面服務登入],然後選取[定義這些原則設定]

    2. 按一下[新增使用者或群組],然後按一下[瀏覽]

    3. 輸入[系統管理員],按一下[檢查名稱][確定]

      顯示如何確認您已設定用戶權力以防止 Domain Admins 群組成員透過遠端桌面服務存取成員伺服器和工作站的螢幕快照

    4. 按一下 [確定],然後再按一下[確定]

  12. 若要結束[群組原則管理編輯器],請按一下[檔案],然後按一下[結束]

  13. 在[群組原則管理]中,將 GPO 連結至成員伺服器和工作站 OU,方法如下:

    1. 導覽至 [<Forest>\網域\<Domain>] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您想要在其中設定群組原則的網域名稱)。

    2. 在要套用 GPO 的 OU 上按滑鼠右鍵,然後按一下[連結現有 GPO]

      當您以滑鼠右鍵按下要套用 GPO 的 OU 時,顯示 [鏈接現有 GPO] 選單選項的螢幕快照。

    3. 選取您剛才建立的 GPO,然後按一下[確定]

      此螢幕快照顯示當您將 GPO 連結至成員伺服器時,選取您剛才建立的 GPO 的位置。

    4. 針對包含工作站的其他所有 OU 建立連結。

    5. 針對包含成員伺服器的其他所有 OU 建立連結。

      重要

      如果使用跳躍伺服器來管理網域控制站和 Active Directory,請確認跳躍伺服器位於未連結此 GPO 的 OU 中。

驗證步驟

驗證「拒絕從網路存取這台電腦」GPO 設定

從任何不受 GPO 變更影響的成員伺服器或工作站 (例如「跳躍伺服器」),嘗試透過受 GPO 變更影響的網路,存取成員伺服器或工作站。 若要驗證 GPO 設定,請使用 NET USE 命令嘗試對應系統磁碟機。

  1. 使用 Domain Admins 群組成員的帳戶在本機登入。

  2. 將滑鼠指標移至畫面右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入[命令提示],以滑鼠右鍵按一下[命令提示字元],然後按一下[以系統管理員身分執行],以開啟已提高權限的命令提示字元。

  4. 系統提示核准提高權限時,請按一下[是]

    此螢幕快照顯示驗證此計算機網路 GPO 設定的拒絕存取權時,核准提高許可權的位置。

  5. [命令提示字元]視窗中,輸入 net use \\<Server Name>\c$,其中 <Server Name> 是您嘗試透過網路存取的成員伺服器或工作站名稱。

  6. 下列螢幕擷取畫面會顯示應該出現的錯誤訊息。

    顯示嘗試存取成員伺服器時,應該會出現的錯誤訊息的螢幕快照。

確認「拒絕以批次工作登入」GPO 設定

透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

建立批次檔

  1. 將滑鼠指標移至畫面右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入記事本,然後按一下[記事本]

  3. [記事本]中,輸入[dir c:]

  4. 按一下[檔案],然後按一下[另存新檔]

  5. [檔案名稱]欄位中,輸入<Filename>.bat(其中<Filename>是新批次檔的名稱)。

排定工作

  1. 將滑鼠指標移至畫面右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入[工作排程器],然後按一下[工作排程器]

    注意

    在執行 Windows 8 的電腦上,於[搜尋]方塊中輸入schedule tasks,然後按一下[排程工作]

  3. [工作排程器]功能表列中,按一下[動作],然後按一下[建立工作]

  4. [建立工作]對話方塊中,輸入<[工作名稱]>(其中<[工作名稱]>是新工作的名稱)。

  5. 按一下[動作]索引標籤,然後按一下[新增]

  6. [動作]欄位中,選取[啟動程式]

  7. [程式/指令碼]欄位中,按一下[瀏覽],找到並選取在[建立批次檔]區段中建立的批次檔 ,然後按一下[開啟]

  8. 按一下 [確定]

  9. 按一下 [General] \(一般\) 索引標籤。

  10. [安全性]選項中,按一下[變更使用者或群組]

  11. 輸入 Administrators 群組成員的帳戶名稱,按一下[檢查名稱],然後按一下[確定]

  12. 選取[不論使用者是否登入皆執行]以及[不要儲存密碼]。 該工作只能存取本機電腦資源。

  13. 按一下 [確定]

  14. 應該會出現對話方塊,要求取得使用者帳戶認證來執行工作。

  15. 輸入認證之後,按一下[確定]

  16. 應該會出現類似下列的對話方塊。

    此螢幕快照顯示輸入認證之後應該發生的錯誤。

確認「拒絕以服務方式登入」GPO 設定

  1. 透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 將滑鼠指標移至畫面右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入服務,然後按一下[服務]

  4. 找到[列印多工緩衝處理器]並按兩下。

  5. 按一下[登入]索引標籤。

  6. [登入身分]下,選取[此帳戶]選項。

  7. 輸入 Domain Admins 群組成員的帳戶名稱,按一下[檢查名稱],然後按一下[確定]

  8. [密碼][確認密碼]欄位中,輸入選取的帳戶密碼,然後按一下[確定]

  9. 再按[確定]三次。

  10. [列印多工緩衝處理器]上按一下滑鼠右鍵,然後按一下[重新啟動]

  11. 重新啟動服務時,應該會出現類似下列的對話方塊。

    此螢幕快照顯示重新啟動服務之後出現的對話框。

將變更還原為「列印多工緩衝處理器服務」

  1. 透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 將滑鼠指標移至畫面右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  3. [搜尋]方塊中,輸入服務,然後按一下[服務]

  4. 找到[列印多工緩衝處理器]並按兩下。

  5. 按一下[登入]索引標籤。

  6. [登入身分]中,選擇[本機系統]帳戶,然後按一下[確定]

確認 [拒絕在本機登入] GPO 設定

  1. 從受 GPO 變更影響的任何成員伺服器或工作站,嘗試使用屬於 Domain Admins 群組成員的帳戶在本機登入。 應該會出現類似下列的對話方塊。

    安全網域管理員群組

確認「拒絕透過遠端桌面服務登入」GPO 設定

  1. 將滑鼠指標移至畫面右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]

  2. [搜尋]方塊中,輸入遠端桌面連線,然後按一下[遠端桌面連線]

  3. [電腦]欄位中輸入您要連線的電腦名稱,然後按一下[連線]。 (您也可以不輸入電腦名稱而改為輸入 IP 位址。)

  4. 出現提示時,請提供屬於 Domain Admins 群組成員之帳戶的認證。

  5. 應該會出現類似下列的對話方塊。

    顯示訊息的螢幕快照,指出您正在使用的登入方法不允許。