Appendice G: Protezione dei gruppi Administrators in Active Directory

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Appendice G: Protezione dei gruppi Administrators in Active Directory

Come avviene con i gruppi Enterprise Admins (EA) e Domain Admins (DA), l'appartenenza al gruppo Administrators predefinito (BA) è necessaria solo in scenari di compilazione o di ripristino di emergenza. Non dovrebbe esserci alcun account di utenti del gruppo Administrators, fatta eccezione per l'account Administrator predefinito per il dominio, purché sia stato protetto come descritto in Appendice D: Protezione degli account predefiniti Administrator in Active Directory.

Gli amministratori sono, per impostazione predefinita, i proprietari della maggior parte degli oggetti di dominio Active Directory nei rispettivi domini. L'appartenenza al gruppo potrebbe essere necessario negli scenari di ripristino di emergenza o compilazione in cui è richiesta la proprietà o la possibilità di assumere la proprietà di oggetti. Inoltre, DAs ed EAs ereditare un numero di propri diritti e autorizzazioni per l'appartenenza predefinita nel gruppo Administrators. Per impostazione predefinita la nidificazione dei gruppi per gruppi con privilegi in Active Directory non devono essere modificati e il gruppo Administrators di ciascun dominio deve essere protetti come descritto nelle istruzioni dettagliate di seguito.

!ATTENZIONE I passaggi descritti in questo documento devono essere testati in un ambiente non di produzione prima dell'esecuzione nell'ambiente di produzione.

Per il gruppo Administrators in ogni dominio nella foresta:

  1. Rimuovere tutti i membri dal gruppo di amministratori, con la possibile eccezione dell'account Administrator predefinito per il dominio, purché sia stato protetto come descritto in Appendice D: Protezione degli account predefiniti Administrator in Active Directory.

  2. Negli oggetti Criteri di gruppo collegati alle unità organizzative contenenti server membri e workstation in ogni dominio, il gruppo BA deve essere aggiunto ai diritti utente seguenti in Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente:

    • Nega accesso al computer dalla rete

    • Negare l'accesso come processo batch

    • Nega accesso come servizio

  3. Nell'unità organizzativa dei controller di dominio in ogni dominio della foresta, al gruppo Administrators devono essere concessi i diritti utente seguenti:

    • Accedi al computer dalla rete

    • Consenti accesso locale

    • Consenti accesso tramite Servizi Desktop remoto

  4. Il controllo deve essere configurato per l'invio di avvisi se vengono apportate modifiche per le proprietà o l'appartenenza del gruppo Administrators.

Istruzioni dettagliate per la rimozione di tutti i membri dal gruppo Administrators

  1. In Server Manager, fare clic su Strumenti, quindi su Utenti e computer di Active Directory.

  2. Per rimuovere tutti i membri dal gruppo Administrators, seguire questa procedura:

    1. Fare doppio clic sul gruppo Administrators, quindi fare clic sulla scheda Membri.

      Screenshot that shows the Members tab for removing all members from the Administrators Group.

    2. Selezionare un membro del gruppo, fare clic su Rimuovi, quindi fare clic su e poi su OK.

  3. Ripetere il passaggio 2 fino a quando non vengono rimossi tutti i membri del gruppo Administrators.

Istruzioni dettagliate per proteggere gli Administrators Groups in Active Directory

  1. In Server Manager, fare clic su Strumenti, quindi su Gestione Criteri di gruppo.

  2. Nell'albero della console, espandere <Foresta>\Domini\<Dominio>, quindi Oggetti Criteri di gruppo (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si desidera impostare i Criteri di gruppo).

  3. Nell'albero della console, fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppo, quindi fare clic su Nuovo.

    Screenshot that shows where to select New so you can secure Administrators Groups in Active Directory.

  4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digitare <Nome oggetto Criteri di gruppo>e fare clic su OK (dove Nome oggetto Criteri di gruppo è il nome dell'oggetto Criteri di gruppo).

    Screenshot that shows where to name the G P O in the New GPO dialog box so you can secure Administrators Groups.

  5. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su <Nome oggetto Criteri di gruppo> e fare clic su Modifica.

  6. Passare a Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali, quindi fare clic su Assegnazione diritti utente.

    Screenshot that shows where to navigate so you can select the User Rights Admin option to secure Administrators Groups.

  7. Configurare i diritti utente per impedire ai membri del gruppo Administrators di accedere ai server e alle workstation dei membri sulla rete eseguendo le seguenti operazioni:

    1. Fare doppio clic su Nega accesso a questo computer dalla rete e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Amministratore, fare clic su Controlla nomi e fare clic su OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from accessing member servers and workstations over the network.

    4. Fare clic su OK e di nuovo su OK.

  8. Configurare i diritti utente per impedire ai membri del gruppo Administrators di accedere come processo batch effettuando le seguenti operazioni:

    1. Fare doppio clic su Nega accesso come processo batch e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Amministratore, fare clic su Controlla nomi e fare clic su OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a batch job.

    4. Fare clic su OK e di nuovo su OK.

  9. Configurare i diritti utente per impedire ai membri del gruppo Administrators di accedere come servizi effettuando le seguenti operazioni:

    1. Fare doppio clic su Nega accesso come servizio e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Amministratore, fare clic su Controlla nomi e fare clic su OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a service.

    4. Fare clic su OK e di nuovo su OK.

  10. Per uscire dall'Editor gestione Criteri di gruppo, fare clic su File, quindi su Esci.

  11. In Gestione criteri di gruppo, collegare l'oggetto Criteri di gruppo alle unità organizzative del server membro e della workstation eseguendo le operazioni seguenti:

    1. Passare a <Foresta>>\Domini\<Dominio> (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si vuole impostare i Criteri di gruppo).

    2. Fare clic con il pulsante destro del mouse sull'unità organizzativa a cui verrà applicato l'oggetto Criteri di gruppo e quindi su Collega un oggetto Criteri di gruppo esistente.

      Screenshot that shows the Link an existing G P O menu option when you right-click the OU.

    3. Selezionare l'oggetto Criteri di gruppo appena creato e fare clic su OK.

      Screenshot that shows where to select the GPO you just created.

    4. Creare collegamenti a tutte le altre unità organizzative che includono postazioni di lavoro.

    5. Creare collegamenti a tutte le altre unità organizzative che contengono server membri.

      Importante

      Se i server di collegamento vengono utilizzati per amministrare i controller di dominio e Active Directory, verificare che i jump server si trovino in un'unità organizzativa a cui non sono collegati oggetti Criteri di gruppo restrittivi.

      Nota

      Quando si implementano restrizioni nel gruppo di amministratori in oggetti Criteri di gruppo, Windows applica le impostazioni per i membri del gruppo Administrators locale del computer oltre a gruppo di amministratori del dominio. Pertanto, è necessario prestare attenzione quando si implementa restrizioni nel gruppo di amministratori. Sebbene divieto di accessi alla rete, batch e del servizio per i membri del gruppo Administrators è consigliabile nel punto in cui è possibile implementare, non si limitano gli accessi locali o gli accessi tramite Servizi Desktop remoto. Il blocco di questi tipi di accesso può bloccare l'amministrazione legittimo di un computer da membri del gruppo Administrators locale.

      La schermata seguente mostra le impostazioni di configurazione che bloccano l'utilizzo improprio incorporati locale e amministratore account di dominio, oltre a un utilizzo improprio di gruppi di amministratori locale o di dominio predefiniti. Si noti che il Nega accesso tramite Servizi Desktop remoto diritto utente non include il gruppo Administrators, perché incluso in questa impostazione blocca anche questi accessi per gli account che sono membri del gruppo Administrators del computer locale. Se i servizi nei computer sono configurati per l'esecuzione nel contesto di uno dei gruppi con privilegi descritti in questa sezione, l'implementazione di queste impostazioni può impedire la corretta esecuzione di servizi e applicazioni. Pertanto, come con tutti i consigli forniti in questa sezione, è consigliabile verificare attentamente le impostazioni per l'applicabilità nell'ambiente in uso.

      Screenshot that shows configuration settings that block misuse of built-in local and domain Administrator accounts.

Istruzioni dettagliate per concedere diritti utente al gruppo Administrators

  1. In Server Manager, fare clic su Strumenti, quindi su Gestione Criteri di gruppo.

  2. Nell'albero della console, espandere <Foresta>\Domini\<Dominio>, quindi Oggetti Criteri di gruppo (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si desidera impostare i Criteri di gruppo).

  3. Nell'albero della console, fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppo, quindi fare clic su Nuovo.

    Screenshot that shows the menu that displays when you right-click Group Policy Objects.

  4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digitare <Nome oggetto Criteri di gruppo>e fare clic su OK (dove <Nome oggetto Criteri di gruppo> è il nome dell'oggetto Criteri di gruppo).

    Screenshot that shows where to name the G P O so you can secure Administrators Groups.

  5. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su <Nome oggetto Criteri di gruppo> e fare clic su Modifica.

  6. Passare a Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali, quindi fare clic su Assegnazione diritti utente.

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Administrators Groups.

  7. Configurare i diritti utente per consentire ai membri del gruppo Administrators di accedere ai controller di dominio nella rete eseguendo le operazioni seguenti:

    1. Fare doppio clic su Accesso a questo computer dalla rete e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to access domain controllers over the network.

    4. Fare clic su OK e di nuovo su OK.

  8. Configurare i diritti utente per consentire ai membri del gruppo Administrators di accedere localmente eseguendo le operazioni seguenti:

    1. Fare doppio clic su Consenti accesso locale e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Amministratore, fare clic su Controlla nomi e fare clic su OK.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on locally.

    4. Fare clic su OK e di nuovo su OK.

  9. Configurare i diritti utente per consentire ai membri del gruppo Administrators di accedere tramite Servizi Desktop remoto eseguendo le operazioni seguenti:

    1. Fare doppio clic su Consenti accesso tramite Servizi Desktop remoto e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, quindi su Sfoglia.

    3. Digitare Amministratore, fare clic su Controlla nomi e fare clic su OK.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on through Remote Desktop Services.

    4. Fare clic su OK e di nuovo su OK.

  10. Per uscire dall'Editor gestione Criteri di gruppo, fare clic su File, quindi su Esci.

  11. In Gestione criteri di gruppo, collegare l'oggetto Criteri di gruppo alle unità organizzative dei controller di dominio eseguendo le operazioni seguenti:

    1. Passare a <Foresta>\Domini\<Dominio> (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si vuole impostare i Criteri di gruppo).

    2. Fare clic con il pulsante destro del mouse sull'unità organizzativa dei controller di dominio e scegliere Collega un oggetto Criteri di gruppo esistente.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the G P O to the domain controllers OU.

    3. Selezionare l'oggetto Criteri di gruppo appena creato e fare clic su OK.

      Screenshot that shows where to select the GPO you just created while you're linking the G P O to the member workstations and server.

Passaggi di verifica

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso al computer dalla rete"

Da qualsiasi server membro o workstation non interessati dalle modifiche dell'oggetto Criteri di gruppo (ad esempio un "jump server"), provare ad accedere a un server membro o workstation sulla rete interessata dalle modifiche dell'oggetto Criteri di gruppo. Per verificare le impostazioni dell'oggetto Criteri di gruppo, provare a eseguire il mapping dell'unità di sistema utilizzando il comando NET USE.

  1. Accedere in locale usando un account che sia membro del gruppo Administrators.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare il prompt dei comandi, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi su Esegui come amministratore per aprire un prompt dei comandi con privilegi elevati.

  4. Quando viene richiesto di approvare l'elevazione dei privilegi, fare clic su .

    Screenshot that highlights the User Account Control dialog box.

  5. Nella finestra Prompt dei comandi, digitare net use \\<Nome server>\c$, dove <Nome server> è il nome del server membro o della workstation a cui si sta tentando di accedere tramite la rete.

  6. Il seguente screenshot mostra il messaggio di errore che deve essere visualizzato.

    Screenshot that highlights the logon failure error message.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso come processo batch"

Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

Creare un file batch

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare Blocco note e fare clic su Blocco note.

  3. Nel Blocco note, digitare dir c:.

  4. Fare clic su File, quindi su Salva con nome.

  5. Nel campo Nome file digitare <Filename>.bat (dove <Filename> è il nome del nuovo file batch).

Pianificare un'attività

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare Utilità di pianificazione, quindi fare clic su Utilità di pianificazione.

    Nota

    Nei computer che eseguono Windows 8, nella casella Cerca, digitare pianifica attività e fare clic su Pianifica attività.

  3. Fare clic su Azione e quindi su Crea attività.

  4. Nella finestra di dialogo Crea attività, digitare <Nome attività> (in cui <Nome attività> è il nome della nuova attività).

  5. Fare clic sulla scheda Azioni, quindi su Nuova.

  6. Nel campo Azione, selezionare Avvia un programma.

  7. Nel campo Programma/script, fare clic su Sfoglia, individuare e selezionare il file batch creato nella sezione Crea un file batch e fare clic su Apri.

  8. Fare clic su OK.

  9. Fare clic sulla scheda Generale.

  10. Nel campo Opzioni di sicurezza, fare clic su Cambia utente o gruppo.

  11. Digitare il nome di un account membro del gruppo Administrators, fare clic su Controlla nomi, quindi fare clic su OK.

  12. Selezionare Esegui se l'utente è connesso o meno e Non archiviare la password. L'attività avrà accesso solo alle risorse del computer locale.

  13. Fare clic su OK.

  14. Viene visualizzata una finestra di dialogo che richiede le credenziali dell'account utente per l'esecuzione dell'attività.

  15. Dopo aver immesso la password, fare clic su OK.

  16. Verrà visualizzata una finestra di dialogo simile alla seguente.

    Screenshot that highlights the Task Scheduler dialog box.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso come servizio"

  1. Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare servizi e fare clic su Servizi.

  4. Individuare e fare doppio clic su Spooler di stampa.

  5. Fare clic sulla scheda Accedi.

  6. Nel campo Accedi come selezionare Questo account.

  7. Fare clic su Sfoglia, digitare il nome di un account membro del gruppo Administrators, fare clic su Controlla nomi, quindi fare clic su OK.

  8. Nei campi Password e Conferma password, digitare la password dell'account selezionato e fare clic su OK.

  9. Fare clic su OK altre tre volte.

  10. Fare clic con il pulsante destro del mouse su Spooler di stampa, quindi su Riavvia.

  11. Quando il servizio viene riavviato, verrà visualizzata una finestra di dialogo simile alla seguente.

    secure admin groups

Ripristinare le modifiche al servizio di spooler della stampante

  1. Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare servizi e fare clic su Servizi.

  4. Individuare e fare doppio clic su Spooler di stampa.

  5. Fare clic sulla scheda Accedi.

  6. Nel campo Accedi come, selezionare l'account Sistema locale e fare clic su OK.