Apêndice F: Proteger grupos de administrador de domínio no Active Directory

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Apêndice F: Proteger grupos de administrador de domínio no Active Directory

Como é o caso do grupo EA (Administradores Corporativos), a associação ao grupo DA (Administradores do Domínio) deve ser necessária apenas em cenários de build ou recuperação de desastre. Não deve haver contas de usuário diárias no grupo DA, com exceção da conta de Administrador interno do domínio, se ela tiver sido protegida conforme descrito em Apêndice D: Como proteger contas de administrador interno no Active Directory.

Os Administradores do Domínio são, por padrão, membros dos grupos Administradores locais em todos os servidores membro e estações de trabalho nos respectivos domínios. Esse aninhamento padrão não deve ser modificado para fins de capacidade de suporte e recuperação de desastre. Se os Administradores do Domínio tiverem sido removidos dos grupos Administradores locais nos servidores membro, o grupo deverá ser adicionado ao grupo Administradores em cada servidor membro e estação de trabalho no domínio. O grupo Administradores do Domínio de cada domínio deve ser protegido, conforme descrito nas instruções passo a passo a seguir.

Para o grupo Administradores do Domínio em cada domínio da floresta:

  1. Remova todos os membros do grupo, com a possível exceção da conta de Administrador interno do domínio, desde que ela tenha sido protegida, conforme descrito em Apêndice D: Como proteger contas de administrador interno no Active Directory.

  2. Nos GPOs vinculados a UOs que contêm servidores membro e estações de trabalho em cada domínio, o grupo DA deve ser adicionado aos seguintes direitos de usuário em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuições de Direitos do Usuário:

    • Negar acesso a este computador pela rede

    • Negar o logon como um trabalho em lotes

    • Negar o logon como um serviço

    • Negar o logon localmente

    • Negar o logon por meio dos Serviços de Área de Trabalho Remota

  3. A auditoria deve ser configurada para enviar alertas se alguma modificação for feita nas propriedades ou na associação do grupo Administradores do Domínio.

Instruções passo a passo para remover todos os membros do grupo Administradores do Domínio

  1. Em Gerenciador do Servidor, clique em Ferramentas e em Usuários e Computadores do Active Directory.

  2. Para remover todos os membros do grupo DA, execute as seguintes etapas:

    1. Clique duas vezes no grupo Administradores do Domínio e clique na guia Membros.

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. Selecione um membro do grupo, clique em Remover, clique em Sim e em OK.

  3. Repita a etapa 2 até que todos os membros do grupo DA tenham sido removidos.

Instruções passo a passo para proteger os administradores do domínio no Active Directory

  1. No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Política de Grupo.

  2. Na árvore do console, expanda <Floresta>\Domínios\<Domínio> e Objetos de Política de Grupo (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

  3. Na árvore do console, clique com o botão direito do mouse em Objetos de Política de Grupo e clique em Novo.

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. Na caixa de diálogo Novo GPO, digite <Nome do GPO> e clique em OK (em que <Nome do GPO> é o nome desse GPO).

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. No painel de detalhes, clique com o botão direito do mouse em <Nome do GPO> e clique em Editar.

  6. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais e clique em Atribuição de Direitos de Usuário.

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. Configure os direitos de usuário para impedir que os membros do grupo Administradores do Domínio acessem os servidores membro e as estações de trabalho pela rede fazendo o seguinte:

    1. Clique duas vezes em Negar acesso a este computador pela rede e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores do Domínio, clique em Verificar Nomes e em OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. Clique em OK e em OK novamente.

  8. Configure os direitos de usuário para impedir que os membros do grupo DA faça logon como um trabalho em lotes fazendo o seguinte:

    1. Clique duas vezes em Negar logon como um trabalho em lotes e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores do Domínio, clique em Verificar Nomes e em OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. Clique em OK e em OK novamente.

  9. Configure os direitos de usuário para impedir que os membros do grupo DA façam logon como um serviço fazendo o seguinte:

    1. Clique duas vezes em Negar logon como um serviço e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores do Domínio, clique em Verificar Nomes e em OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. Clique em OK e em OK novamente.

  10. Configure os direitos de usuário para impedir que os membros do grupo Administradores do Domínio faça logon localmente em servidores membro e estações de trabalho fazendo o seguinte:

    1. Clique duas vezes em Negar logon localmente e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores do Domínio, clique em Verificar Nomes e em OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. Clique em OK e em OK novamente.

  11. Configure os direitos de usuário para impedir que os membros do grupo Administradores do Domínio acessem os servidores membro e as estações de trabalho por meio dos Serviços de Área de Trabalho Remota fazendo o seguinte:

    1. Clique duas vezes em Negar logon por meio dos Serviços de Área de Trabalho Remota e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores do Domínio, clique em Verificar Nomes e em OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. Clique em OK e em OK novamente.

  12. Para sair do Editor de Gerenciamento de Política de Grupo, clique em Arquivo e em Sair.

  13. No Gerenciamento de Política de Grupo, vincule o GPO ao servidor membro e às OUs da estação de trabalho fazendo o seguinte:

    1. Navegue até <Floresta>\Domínios\<Domínio> (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

    2. Clique com o botão direito do mouse na OU à qual o GPO será aplicado e clique em Vincular um GPO existente.

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. Selecione o GPO que acabou de criar e clique em OK.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. Crie vínculos para todas as outras OUs que contêm estações de trabalho.

    5. Crie vínculos para todas as outras OUs que contêm servidores membro.

      Importante

      Se jump servers forem usados para administrar os controladores de domínio e o Active Directory, verifique se os jump servers estão localizados em uma UO à qual esses GPOs não estejam vinculados.

Etapas de Verificação

Verificar as configurações de GPO "Negar acesso a este computador pela rede"

Em qualquer estação de trabalho ou servidor membro que não seja afetado pelas alterações de GPO (como um "jump server"), tente acessar um servidor membro ou uma estação de trabalho pela rede afetada pelas alterações de GPO. Para verificar as configurações de GPO, tente mapear a unidade do sistema usando o comando NET USE.

  1. Faça logon localmente usando uma conta que seja membro do grupo Administradores do Domínio.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite prompt de comando, clique com o botão direito do mouse em prompt de comando e clique em Executar como administrador para abrir um prompt de comandos com privilégios elevados.

  4. Quando for solicitado aprovar a elevação, clique em Sim.

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. Na janela Prompt de Comando, digite net use \\<Nome do Servidor>\c$, em que <Nome do Servidor> é o nome do servidor membro ou da estação de trabalho que você está tentando acessar pela rede.

  6. A captura de tela a seguir mostra a mensagem de erro que será exibida.

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

Verificar as configurações de GPO "Negar logon como um trabalho em lotes"

Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

Criar um arquivo em lotes

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite Bloco de notas e clique em Bloco de notas.

  3. No Bloco de notas, digite dir c:.

  4. Clique em Arquivo e em Salvar como.

  5. No campo Nome do arquivo, digite <Nome do arquivo>.bat (em que <Nome do arquivo> é o nome do novo arquivo em lote).

Agendar uma tarefa

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite agendador de tarefas e clique em Agendador de Tarefas.

    Observação

    Nos computadores que executam o Windows 8, na caixa Pesquisar, digite agendar tarefas e clique em Agendar tarefas.

  3. Na barra de menus Agendador de Tarefas, clique em Ação e em Criar Tarefa.

  4. Na caixa de diálogo Criar Tarefa, digite <Nome da Tarefa> (em que <Nome da Tarefa> é o nome da nova tarefa).

  5. Clique na guia Ações e em Nova.

  6. No campo Ação, selecione Iniciar um programa.

  7. Em Programa/script, clique em Procurar, localize e selecione o arquivo em lotes criado na seção Criar um Arquivo em Lotes e clique em Abrir.

  8. Clique em OK.

  9. Clique na guia Geral.

  10. Em Opções de segurança, clique em Alterar Usuário ou Grupo.

  11. Digite o nome de uma conta que seja membro do grupo Administradores do Domínio, clique em Verificar Nomes e em OK.

  12. Selecione Executar estando o usuário conectado ou não e selecione Não armazenar senha. A tarefa só terá acesso aos recursos do computador local.

  13. Clique em OK.

  14. Uma caixa de diálogo será exibida, solicitando as credenciais da conta de usuário para executar a tarefa.

  15. Depois de inserir as credenciais, clique em OK.

  16. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    Screenshot that shows the error that should occur after you enter the credentials.

Verificar as configurações de GPO "Negar logon como um serviço"

  1. Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite serviços e clique em Serviços.

  4. Localize e clique duas vezes em Spooler de Impressão.

  5. Clique na guia Logon.

  6. Em Fazer logon como, selecione a opção Esta conta.

  7. Clique em Procurar, digite o nome de uma conta que seja membro do grupo Administradores do Domínio, clique em Verificar Nomes e clique em OK.

  8. Em Senha e Confirmar senha, digite a senha da conta selecionada e clique em OK.

  9. Clique em OK mais três vezes.

  10. Clique com o botão direito do mouse em Spooler de Impressão e clique em Reiniciar.

  11. Quando o serviço for reiniciado, uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    Screenshot that shows the dialog box that appears after the service is restarted.

Reverter as alterações no Serviço de Spooler de Impressão

  1. Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite serviços e clique em Serviços.

  4. Localize e clique duas vezes em Spooler de Impressão.

  5. Clique na guia Logon.

  6. Em Fazer logon como, selecione a conta Sistema Local e clique em OK.

Verificar as configurações de GPO "Negar logon localmente"

  1. Em qualquer estação de trabalho ou servidor membro afetado pelas alterações de GPO, tente fazer logon localmente usando uma conta que seja membro do grupo Administradores do Domínio. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    secure domain admin groups

Verificar as configurações de GPO "Negar logon por meio dos Serviços de Área de Trabalho Remota"

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite conexão de área de trabalho remota e clique em Conexão de Área de Trabalho Remota.

  3. No campo Computador, digite o nome do computador ao qual deseja se conectar e clique em Conectar. (Você também pode digitar o endereço IP em vez do nome do computador.)

  4. Quando solicitado, forneça as credenciais de uma conta que seja membro do grupo Administradores do Domínio.

  5. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.