Lampiran G: Mengamankan Grup Administrator di Direktori Aktif

  • Artikel
  • 9 menit untuk membaca

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Lampiran G: Mengamankan Grup Administrator di Direktori Aktif

Seperti halnya dengan grup Admin Perusahaan (EA) dan Admin Domain (DA), keanggotaan dalam grup Administrator bawaan (BA) harus diperlukan hanya dalam skenario build atau pemulihan bencana. Seharusnya tidak ada akun pengguna sehari-hari di grup Administrator dengan pengecualian akun Administrator Bawaan untuk domain, jika telah diamankan seperti yang dijelaskan dalam Lampiran D: Mengamankan akun Administrator Built-In di Direktori Aktif.

Administrator, secara default, pemilik sebagian besar objek AD DS di domain masing-masing. Keanggotaan dalam grup ini mungkin diperlukan dalam skenario build atau pemulihan bencana di mana kepemilikan atau kemampuan untuk mengambil kepemilikan objek diperlukan. Selain itu, DAs dan EA mewarisi sejumlah hak dan izin mereka berdasarkan keanggotaan default mereka di grup Administrator. Grup default yang berlapis untuk grup istimewa di Direktori Aktif tidak boleh dimodifikasi, dan setiap grup Administrator domain harus diamankan seperti yang dijelaskan dalam instruksi langkah demi langkah yang mengikuti.

Untuk grup Administrator di setiap domain di forest:

  1. Hapus semua anggota dari grup Administrator, dengan kemungkinan pengecualian akun Administrator bawaan untuk domain tersebut, asalkan telah diamankan seperti yang dijelaskan dalam Lampiran D: Mengamankan akun Administrator Built-In di Direktori Aktif.

  2. Di GPO yang ditautkan ke OU yang berisi server anggota dan stasiun kerja di setiap domain, grup BA harus ditambahkan ke hak pengguna berikut di Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\ User Rights Assignment:

    • Tolak akses ke komputer ini dari jaringan

    • Tolak masuk sebagai pekerjaan batch

    • Menolak masuk sebagai layanan

  3. Di OU pengendali domain di setiap domain di forest, grup Administrator harus diberikan hak pengguna berikut:

    • Akses komputer ini dari jaringan

    • Perbolehkan masuk secara lokal

    • Perbolehkan masuk melalui Layanan Desktop Jarak Jauh

  4. Audit harus dikonfigurasi untuk mengirim pemberitahuan jika ada modifikasi yang dilakukan pada properti atau keanggotaan grup Administrator.

Instruksi Langkah demi Langkah untuk Menghapus Semua Anggota dari Grup Administrator

  1. Di Manajer Server, klik Alat, dan klik Pengguna dan Komputer Direktori Aktif.

  2. Untuk menghapus semua anggota dari grup Administrator, lakukan langkah-langkah berikut:

    1. Klik dua kali grup Administrator dan klik tab Anggota .

      Screenshot that shows the Members tab for removing all members from the Administrators Group.

    2. Pilih anggota grup, klik Hapus, klik Ya, dan klik OK.

  3. Ulangi langkah 2 hingga semua anggota grup Administrator telah dihapus.

Instruksi Langkah demi Langkah untuk Mengamankan Grup Administrator di Direktori Aktif

  1. Di Manajer Server, klik Alat, dan klik manajemen Kebijakan Grup.

  2. Di pohon konsol, perluas <Forest>\Domains\<Domain>, lalu Kebijakan Grup Objects (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

  3. Di pohon konsol, klik kanan Kebijakan Grup Objek, dan klik Baru.

    Screenshot that shows where to select New so you can secure Administrators Groups in Active Directory.

  4. Dalam kotak dialog GPO Baru , ketik <Nama> GPO, dan klik OK (di mana Nama GPO adalah nama GPO ini).

    Screenshot that shows where to name the G P O in the New GPO dialog box so you can secure Administrators Groups.

  5. Di panel detail, klik <kanan Nama> GPO, dan klik Edit.

  6. Navigasi ke Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies, dan klik Penetapan Hak Pengguna.

    Screenshot that shows where to navigate so you can select the User Rights Admin option to secure Administrators Groups.

  7. Konfigurasikan hak pengguna untuk mencegah anggota grup Administrator mengakses server anggota dan stasiun kerja melalui jaringan dengan melakukan hal berikut:

    1. Klik ganda Tolak akses ke komputer ini dari jaringan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from accessing member servers and workstations over the network.

    4. Klik OK, dan OK lagi.

  8. Konfigurasikan hak pengguna untuk mencegah anggota grup Administrator masuk sebagai tugas batch dengan melakukan hal berikut:

    1. Klik dua kali Tolak masuk sebagai tugas batch dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a batch job.

    4. Klik OK, dan OK lagi.

  9. Konfigurasikan hak pengguna untuk mencegah anggota grup Administrator masuk sebagai layanan dengan melakukan hal berikut:

    1. Klik dua kali Tolak masuk sebagai layanan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a service.

    4. Klik OK, dan OK lagi.

  10. Untuk keluar dari Kebijakan Grup Management Editor, klik File, dan klik Keluar.

  11. Di Kebijakan Grup Management, tautkan GPO ke server anggota dan OU stasiun kerja dengan melakukan hal berikut:

    1. Navigasi ke <Forest>>\Domains\<Domain> (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

    2. Klik kanan unit organisasi tempat GPO akan diterapkan dan klik Tautkan GPO yang ada.

      Screenshot that shows the Link an existing G P O menu option when you right-click the OU.

    3. Pilih GPO yang baru saja Anda buat dan klik OK.

      Screenshot that shows where to select the GPO you just created.

    4. Buat tautan ke semua UNIT lain yang berisi stasiun kerja.

    5. Buat tautan ke semua unit organisasi lain yang berisi server anggota.

      Penting

      Jika server lompat digunakan untuk mengelola pengontrol domain dan Direktori Aktif, pastikan bahwa server lompat terletak di unit organisasi tempat GPO ini tidak ditautkan.

      Catatan

      Saat Anda menerapkan pembatasan pada grup Administrator di GPO, Windows menerapkan pengaturan ke anggota grup Administrator lokal komputer selain grup Administrator domain. Oleh karena itu, Anda harus berhati-hati saat menerapkan pembatasan di grup Administrator. Meskipun melarang masuk jaringan, batch, dan layanan untuk anggota grup Administrator disarankan di mana pun diizinkan untuk menerapkan, jangan membatasi masuk atau masuk lokal melalui Layanan Desktop Jarak Jauh. Memblokir jenis log masuk ini dapat memblokir administrasi komputer yang sah oleh anggota grup Administrator lokal.

      Cuplikan layar berikut menunjukkan pengaturan konfigurasi yang memblokir penyalahgunaan akun Administrator lokal dan domain bawaan, selain penyalahgunaan grup Administrator lokal atau domain bawaan. Perhatikan bahwa hak pengguna Tolak masuk melalui Layanan Desktop Jauh tidak menyertakan grup Administrator, karena menyertakannya dalam pengaturan ini juga akan memblokir masuk ini untuk akun yang merupakan anggota grup Administrator komputer lokal. Jika layanan pada komputer dikonfigurasi untuk berjalan dalam konteks salah satu grup istimewa yang dijelaskan di bagian ini, menerapkan pengaturan ini dapat menyebabkan layanan dan aplikasi gagal. Oleh karena itu, seperti semua rekomendasi di bagian ini, Anda harus menguji pengaturan secara menyeluruh untuk penerapan di lingkungan Anda.

      Screenshot that shows configuration settings that block misuse of built-in local and domain Administrator accounts.

Instruksi Langkah demi Langkah untuk Memberikan Hak Pengguna ke Grup Administrator

  1. Di Manajer Server, klik Alat, dan klik manajemen Kebijakan Grup.

  2. Di pohon konsol, perluas <Forest>\Domains\<Domain>, lalu Kebijakan Grup Objects (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

  3. Di pohon konsol, klik kanan Kebijakan Grup Objek, dan klik Baru.

    Screenshot that shows the menu that displays when you right-click Group Policy Objects.

  4. Dalam kotak dialog GPO Baru , ketik <Nama> GPO, dan klik OK (di mana <Nama> GPO adalah nama GPO ini).

    Screenshot that shows where to name the G P O so you can secure Administrators Groups.

  5. Di panel detail, klik <kanan Nama> GPO, dan klik Edit.

  6. Navigasi ke Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies, dan klik Penetapan Hak Pengguna.

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Administrators Groups.

  7. Konfigurasikan hak pengguna untuk mengizinkan anggota grup Administrator mengakses pengontrol domain melalui jaringan dengan melakukan hal berikut:

    1. Klik dua kali Akses ke komputer ini dari jaringan dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to access domain controllers over the network.

    4. Klik OK, dan OK lagi.

  8. Konfigurasikan hak pengguna untuk mengizinkan anggota grup Administrator masuk secara lokal dengan melakukan hal berikut:

    1. Klik dua kali Izinkan masuk secara lokal dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on locally.

    4. Klik OK, dan OK lagi.

  9. Konfigurasikan hak pengguna untuk mengizinkan anggota grup Administrator masuk melalui Layanan Desktop Jauh dengan melakukan hal berikut:

    1. Klik dua kali Izinkan masuk melalui Layanan Desktop Jauh dan pilih Tentukan pengaturan kebijakan ini.

    2. Klik Tambahkan Pengguna atau Grup dan klik Telusuri.

    3. Ketik Administrator, klik Periksa Nama, dan klik OK.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on through Remote Desktop Services.

    4. Klik OK, dan OK lagi.

  10. Untuk keluar dari Kebijakan Grup Management Editor, klik File, dan klik Keluar.

  11. Di Kebijakan Grup Management, tautkan GPO ke OU pengontrol domain dengan melakukan hal berikut:

    1. Navigasi ke <Forest>\Domains\<Domain> (di mana <Forest> adalah nama forest dan <Domain> adalah nama domain tempat Anda ingin mengatur Kebijakan Grup).

    2. Klik kanan unit organisasi pengontrol domain dan klik Tautkan GPO yang sudah ada.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the G P O to the domain controllers OU.

    3. Pilih GPO yang baru saja Anda buat dan klik OK.

      Screenshot that shows where to select the GPO you just created while you're linking the G P O to the member workstations and server.

Langkah-langkah Verifikasi

Verifikasi GPO "Tolak akses ke komputer ini dari jaringan" Pengaturan

Dari server anggota atau stasiun kerja apa pun yang tidak terpengaruh oleh perubahan GPO (seperti "server lompat"), coba akses server anggota atau stasiun kerja melalui jaringan yang terpengaruh oleh perubahan GPO. Untuk memverifikasi pengaturan GPO, coba petakan drive sistem dengan menggunakan perintah NET USE .

  1. Masuk secara lokal menggunakan akun yang merupakan anggota grup Administrator.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik prompt perintah, klik kanan Prompt Perintah, lalu klik Jalankan sebagai administrator untuk membuka prompt perintah yang ditinggikan.

  4. Ketika diminta untuk menyetujui elevasi, klik Ya.

    Screenshot that highlights the User Account Control dialog box.

  5. Di jendela Wantian Perintah , ketik net use \\<Server Name>\c$, di mana <Nama> Server adalah nama server anggota atau stasiun kerja yang anda coba akses melalui jaringan.

  6. Cuplikan layar berikut menunjukkan pesan kesalahan yang akan muncul.

    Screenshot that highlights the logon failure error message.

Verifikasi GPO "Tolak masuk sebagai pekerjaan batch" Pengaturan

Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

Membuat File Batch

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian, ketik notepad, dan klik Notepad.

  3. Di Notepad, ketik dir c:.

  4. Klik File, dan klik Simpan Sebagai.

  5. Di bidang Nama file , ketik <nama> file.bat (di mana <Nama file> adalah nama file batch baru).

Menjadwalkan Tugas

  1. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  2. Dalam kotak Pencarian , ketik penjadwal tugas, dan klik Penjadwal Tugas.

    Catatan

    Pada komputer yang menjalankan Windows 8, dalam kotak Pencarian, ketik tugas jadwal, dan klik Jadwalkan tugas.

  3. Klik Tindakan, dan klik Buat Tugas.

  4. Dalam kotak dialog Buat Tugas, ketik <Nama> Tugas (di mana <Nama> Tugas adalah nama tugas baru).

  5. Klik tab Tindakan , dan klik Baru.

  6. Di bidang Tindakan , pilih Mulai program.

  7. Di bidang Program/skrip , klik Telusuri, temukan dan pilih file batch yang dibuat di bagian Buat File Batch , dan klik Buka.

  8. Klik OK.

  9. Klik tab Umum.

  10. Di bidang Opsi keamanan , klik Ubah Pengguna atau Grup.

  11. Ketik nama akun yang merupakan anggota grup Administrator, klik Periksa Nama, dan klik OK.

  12. Pilih Jalankan apakah pengguna masuk atau tidak dan Jangan simpan kata sandi. Tugas hanya akan memiliki akses ke sumber daya komputer lokal.

  13. Klik OK.

  14. Kotak dialog akan muncul, meminta kredensial akun pengguna untuk menjalankan tugas.

  15. Setelah memasukkan kata sandi, klik OK.

  16. Kotak dialog yang mirip dengan yang berikut ini akan muncul.

    Screenshot that highlights the Task Scheduler dialog box.

Verifikasi GPO "Tolak masuk sebagai layanan" Pengaturan

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bidang Masuk sebagai , pilih Akun ini.

  7. Klik Telusuri, ketik nama akun yang merupakan anggota grup Administrator, klik Periksa Nama, dan klik OK.

  8. Di bidang Kata Sandi dan Konfirmasi kata sandi , ketik kata sandi akun yang dipilih, dan klik OK.

  9. Klik OK tiga kali lagi.

  10. Klik kanan Cetak Penampung dan klik Mulai Ulang.

  11. Saat layanan dimulai ulang, kotak dialog yang mirip dengan yang berikut ini akan muncul.

    secure admin groups

Kembalikan Perubahan ke Layanan Penampung Printer

  1. Dari server anggota atau stasiun kerja mana pun yang terpengaruh oleh perubahan GPO, masuk secara lokal.

  2. Dengan mouse, gerakkan penunjuk ke sudut kanan atas atau kanan bawah layar. Saat bilah Tombol muncul, klik Cari.

  3. Dalam kotak Pencarian , ketik layanan, dan klik Layanan.

  4. Temukan dan klik dua kali Print Spooler.

  5. Klik tab Masuk .

  6. Di bidang Masuk sebagai , klik Akun Sistem Lokal , dan klik OK.