Приложение Д. Защита групп корпоративных администраторов в Active DirectoryAppendix E: Securing Enterprise Admins Groups in Active Directory

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Приложение Д. Защита групп корпоративных администраторов в Active DirectoryAppendix E: Securing Enterprise Admins Groups in Active Directory

Группа администраторов предприятия (EA), размещенная в корневом домене леса, не должна содержать пользователей ежедневно, за исключением учетной записи администратора корневого домена, при условии, что она защищена, как описано в приложении г. защита Built-In учетных записей администраторов в Active Directory.The Enterprise Admins (EA) group, which is housed in the forest root domain, should contain no users on a day-to-day basis, with the possible exception of the root domain's Administrator account, provided it is secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

Администраторы предприятия по умолчанию являются членами группы администраторов в каждом домене леса.Enterprise Admins are, by default, members of the Administrators group in each domain in the forest. Не следует удалять группу EA из групп администраторов в каждом домене, так как в случае аварийного восстановления леса, скорее всего, потребуется обладать правами EA.You should not remove the EA group from the Administrators groups in each domain because in the event of a forest disaster recovery scenario, EA rights will likely be required. Группа "Администраторы предприятия" леса должна быть защищена, как описано в следующих пошаговых инструкциях.The forest's Enterprise Admins group should be secured as detailed in the step-by-step instructions that follow.

Для группы "Администраторы предприятия" в лесу:For the Enterprise Admins group in the forest:

  1. В объектах групповой политики, связанных с подразделениями, содержащими рядовые серверы и рабочие станции в каждом домене, Группа "Администраторы предприятия" должна быть добавлена к следующим правам пользователя в Computer \ политики \ параметры безопасности \ локальные политики Policies\User назначения прав:In GPOs linked to OUs containing member servers and workstations in each domain, the Enterprise Admins group should be added to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments:

    • Запретить сетевой доступ к этому компьютеру.Deny access to this computer from the network

    • Отказ во входе в качестве пакетного заданияDeny log on as a batch job

    • Отказать во входе в качестве службыDeny log on as a service

    • Запретить локальный входDeny log on locally

    • Запретить вход в систему через службу удаленных рабочих столовDeny log on through Remote Desktop Services

  2. Настройте аудит для отправки оповещений при внесении любых изменений в свойства или членство в группе "Администраторы предприятия".Configure auditing to send alerts if any modifications are made to the properties or membership of the Enterprise Admins group.

Пошаговые инструкции по удалению всех участников из группы "Администраторы предприятия"Step-by-Step Instructions for Removing All Members from the Enterprise Admins Group

  1. В Диспетчер сервера щелкните средства и выберите Active Directory пользователи и компьютеры.In Server Manager, click Tools, and click Active Directory Users and Computers.

  2. Если вы не управляете корневым доменом для леса, в дереве консоли щелкните правой кнопкой мыши и выберите команду изменить домен (где — имя домена, в котором выполняется администрирование).If you are not managing the root domain for the forest, in the console tree, right-click , and then click Change Domain (where is the name of the domain you're currently administering).

    Снимок экрана, посвященный пункту "изменить домен".

  3. В диалоговом окне изменение домена нажмите кнопку Обзор, выберите корневой домен для леса и нажмите кнопку ОК.In the Change domain dialog box, click Browse, select the root domain for the forest, and click OK.

    Снимок экрана, на котором отображается кнопка "ОК" в диалоговом окне "изменение домена".

  4. Чтобы удалить всех членов из группы EA, выполните следующие действия.To remove all members from the EA group:

    1. Дважды щелкните группу Администраторы предприятия и перейдите на вкладку члены .Double-click the Enterprise Admins group and then click the Members tab.

      Снимок экрана, на котором показана вкладка "члены" в группе "Администраторы предприятия".

    2. Выберите участника группы, нажмите кнопку Удалить, выберите Да, а затем нажмите кнопку ОК.Select a member of the group, click Remove, click Yes, and click OK.

  5. Повторите шаг 2, пока не будут удалены все члены группы EA.Repeat step 2 until all members of the EA group have been removed.

Пошаговые инструкции по защите администраторов предприятия в Active DirectoryStep-by-Step Instructions to Secure Enterprise Admins in Active Directory

  1. В Диспетчер сервера щелкните средства и выберите Групповая политика управление.In Server Manager, click Tools, and click Group Policy Management.

  2. В дереве консоли разверните узел \домаинс \ , а затем Групповая политика объекты (где — имя леса, а — имя домена, в котором нужно задать групповая политика).In the console tree, expand \Domains\, and then Group Policy Objects (where is the name of the forest and is the name of the domain where you want to set the Group Policy).

    Примечание

    В лесу, содержащем несколько доменов, в каждом домене должен быть создан аналогичный объект групповой политики, который требует защиты группы администраторов предприятия.In a forest that contains multiple domains, a similar GPO should be created in each domain that requires that the Enterprise Admins group be secured.

  3. В дереве консоли щелкните правой кнопкой мыши элемент Групповая политика объекты и выберите команду создать.In the console tree, right-click Group Policy Objects, and click New.

    Снимок экрана, показывающий пункт "создать меню" в меню "групповая политика объекты".

  4. В диалоговом окне Создание объекта групповой политики введите и нажмите кнопку ОК (где — это имя этого объекта групповой политики).In the New GPO dialog box, type , and click OK (where is the name of this GPO).

    Снимок экрана, на котором показано, где ввести имя объекта групповой политики и выбрать исходный начальный объект групповой политики.

  5. В области сведений щелкните правой кнопкой мыши и выберите команду изменить.In the details pane, right-click , and click Edit.

  6. Перейдите к компьютеру \ политики \ Параметры безопасности Локальные политики и щелкните Назначение прав пользователя.Navigate to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies, and click User Rights Assignment.

    Снимок экрана, на котором показано, где выбрать назначение прав пользователя.

  7. Настройте права пользователя, чтобы запретить членам группы "Администраторы предприятия" доступ к серверам и рабочим станциям по сети, выполнив следующие действия.Configure the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations over the network by doing the following:

    1. Дважды щелкните " запретить доступ к этому компьютеру из сети" и выберите " определить параметры политики".Double-click Deny access to this computer from the network and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы предприятия, щелкните Проверить имена и нажмите кнопку ОК.Type Enterprise Admins, click Check Names, and click OK.

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы запретить членам группы "Администраторы предприятия" доступ к серверам и рабочим станциям по сети.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  8. Настройте права пользователя, чтобы запретить членам группы "Администраторы предприятия" входить в систему в качестве пакетного задания, выполнив следующие действия.Configure the user rights to prevent members of the Enterprise Admins group from logging on as a batch job by doing the following:

    1. Дважды щелкните отклонить вход в качестве пакетного задания и выберите определить эти параметры политики.Double-click Deny log on as a batch job and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

      Примечание

      В лесу, содержащем несколько доменов, щелкните расположения и выберите корневой домен леса.In a forest that contains multiple domains, click Locations and select the root domain of the forest.

    3. Введите Администраторы предприятия, щелкните Проверить имена и нажмите кнопку ОК.Type Enterprise Admins, click Check Names, and click OK.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя для запрета входа членов группы "Администраторы предприятия" в качестве пакетного задания.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  9. Настройте права пользователя, чтобы предотвратить вход членов группы EA в качестве службы, выполнив следующие действия.Configure the user rights to prevent members of the EA group from logging on as a service by doing the following:

    1. Дважды щелкните отклонить журнал как службу и выберите определить эти параметры политики.Double-click Deny log as a service and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and then click Browse.

      Примечание

      В лесу, содержащем несколько доменов, щелкните расположения и выберите корневой домен леса.In a forest that contains multiple domains, click Locations and select the root domain of the forest.

    3. Введите Администраторы предприятия, щелкните Проверить имена и нажмите кнопку ОК.Type Enterprise Admins, click Check Names, and click OK.

      Снимок экрана, на котором показано, как проверить, настроены ли права пользователя для предотвращения входа в систему в качестве службы для членов группы EA.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  10. Настройте права пользователя, чтобы запретить членам группы "Администраторы предприятия" входить в локальную систему на рядовые серверы и рабочие станции, выполнив следующие действия.Configure user rights to prevent members of the Enterprise Admins group from logging on locally to member servers and workstations by doing the following:

    1. Дважды щелкните Отклонить локальный вход в систему и выберите определить эти параметры политики.Double-click Deny log on locally and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and then click Browse.

      Примечание

      В лесу, содержащем несколько доменов, щелкните расположения и выберите корневой домен леса.In a forest that contains multiple domains, click Locations and select the root domain of the forest.

    3. Введите Администраторы предприятия, щелкните Проверить имена и нажмите кнопку ОК.Type Enterprise Admins, click Check Names, and click OK.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя для предотвращения локального входа членов группы "Администраторы предприятия" на рядовые серверы и рабочие станции.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  11. Настройте права пользователя, чтобы запретить членам группы "Администраторы предприятия" доступ к рядовым серверам и рабочим станциям с помощью службы удаленных рабочих столов, выполнив следующие действия.Configure the user rights to prevent members of the Enterprise Admins group from accessing member servers and workstations via Remote Desktop Services by doing the following:

    1. Дважды щелкните элемент запретить вход через службы удаленных рабочих столов и выберите определить эти параметры политики.Double-click Deny log on through Remote Desktop Services and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and then click Browse.

      Примечание

      В лесу, содержащем несколько доменов, щелкните расположения и выберите корневой домен леса.In a forest that contains multiple domains, click Locations and select the root domain of the forest.

    3. Введите Администраторы предприятия, щелкните Проверить имена и нажмите кнопку ОК.Type Enterprise Admins, click Check Names, and click OK.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя для предотвращения доступа членов группы "Администраторы предприятия" к рядовым серверам и рабочим станциям с помощью службы удаленных рабочих столов.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  12. Чтобы выйти из редактор "Управление групповыми политиками", в меню файл выберите команду выход.To exit Group Policy Management Editor, click File, and click Exit.

  13. В Групповая политика управления свяжите объект групповой политики с подразделениями рядового сервера и рабочей станции, выполнив следующие действия.In Group Policy Management, link the GPO to the member server and workstation OUs by doing the following:

    1. Перейдите к \домаинс \ (где — имя леса, а — имя домена, в котором вы хотите задать групповая политика).Navigate to the \Domains\ (where is the name of the forest and is the name of the domain where you want to set the Group Policy).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применен объект GPO, и выберите команду связать существующий объект GPO.Right-click the OU that the GPO will be applied to and click Link an existing GPO.

      Снимок экрана, посвященный пункту "связать существующий объект групповой политики".

    3. Выберите только что созданный объект групповой политики и нажмите кнопку ОК.Select the GPO that you just created and click OK.

      Снимок экрана, на котором показано, где выбрать только что созданный объект групповой политики.

    4. Создайте ссылки на все подразделения, содержащие рабочие станции.Create links to all other OUs that contain workstations.

    5. Создайте ссылки на все подразделения, содержащие рядовые серверы.Create links to all other OUs that contain member servers.

    6. В лесу, содержащем несколько доменов, в каждом домене должен быть создан аналогичный объект групповой политики, который требует защиты группы администраторов предприятия.In a forest that contains multiple domains, a similar GPO should be created in each domain that requires that the Enterprise Admins group be secured.

Важно!

Если для администрирования контроллеров домена и Active Directory используются серверы переходов, убедитесь, что серверы переходов расположены в подразделении, к которому не привязаны объекты GPO.If jump servers are used to administer domain controllers and Active Directory, ensure that jump servers are located in an OU to which this GPOs is not linked.

Этапы проверкиVerification Steps

Проверьте параметры объекта групповой политики "запретить доступ к этому компьютеру из сети"Verify "Deny access to this computer from the network" GPO Settings

С любого рядового сервера или рабочей станции, на который не влияют изменения объекта групповой политики (например, "сервер переходов"), попытайтесь получить доступ к рядовому серверу или рабочей станции по сети, на которую влияют изменения объекта групповой политики.From any member server or workstation that is not affected by the GPO changes (such as a "jump server"), attempt to access a member server or workstation over the network that is affected by the GPO changes. Чтобы проверить параметры объекта групповой политики, попытайтесь выполнить сопоставление системного диска с помощью команды net use , выполнив следующие действия.To verify the GPO settings, attempt to map the system drive by using the NET USE command by performing the following steps:

  1. Войдите в систему локально, используя учетную запись, которая является членом группы EA.Log on locally using an account that is a member of the EA group.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  3. В поле поиска введите командную строку, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора , чтобы открыть командную строку с повышенными привилегиями.In the Search box, type command prompt, right-click Command Prompt, and then click Run as administrator to open an elevated command prompt.

  4. При появлении запроса на подтверждение повышения прав нажмите кнопку Да.When prompted to approve the elevation, click Yes.

    Снимок экрана, на котором показано диалоговое окно, в котором вы утверждаете повышение прав.

  5. В окне командной строки введите net use \ \ <Server Name> \C $, где <Server Name> — это имя рядового сервера или рабочей станции, доступ к которой осуществляется по сети.In the Command Prompt window, type net use \\<Server Name>\c$, where <Server Name> is the name of the member server or workstation you're attempting to access over the network.

  6. На следующем снимке экрана показано сообщение об ошибке, которое должно появиться.The following screenshot shows the error message that should appear.

    Снимок экрана, показывающий сообщение об ошибке, которое должно появиться.

Проверка параметров объекта групповой политики "запретить вход в систему в качестве пакетного задания"Verify "Deny log on as a batch job" GPO Settings

Войдите в систему с любого рядового сервера или рабочей станции, затронутой изменением объектов групповой политики.From any member server or workstation affected by the GPO changes, log on locally.

Создание пакетного файлаCreate a Batch File
  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  2. В поле поиска введите Блокнот и щелкните Блокнот.In the Search box, type notepad, and click Notepad.

  3. В блокноте введите dir c:.In Notepad, type dir c:.

  4. Щелкните файл и выберите Сохранить как.Click File, and click Save As.

  5. В поле имя файла введите . bat (где — имя нового пакетного файла).In the File name box, type .bat (where is the name of the new batch file).

Планирование задачиSchedule a Task
  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  2. В поле поиска введите Task Scheduler (планировщик заданий) и нажмите кнопку планировщик задач.In the Search box, type task scheduler, and click Task Scheduler.

    Примечание

    На компьютерах под управлением Windows 8 в поле поиска введите Schedule Tasks (расписание задач) и щелкните Schedule Tasks (планирование задач).On computers running Windows 8, in the Search box, type schedule tasks, and click Schedule tasks.

  3. Щелкните действие и выберите создать задачу.Click Action, and click Create Task.

  4. В диалоговом окне Создание задачи введите (где — имя новой задачи).In the Create Task dialog box, type (where is the name of the new task).

  5. Перейдите на вкладку действия и нажмите кнопку создать.Click the Actions tab, and click New.

  6. В поле действие выберите запустить программу.In the Action field, select Start a program.

  7. В разделе Программа/сценарий нажмите кнопку Обзор, найдите и выберите пакетный файл, созданный в разделе Создание пакетного файла , и нажмите кнопку Открыть.Under Program/script, click Browse, locate and select the batch file created in the Create a Batch File section, and click Open.

  8. Нажмите кнопку ОК.Click OK.

  9. Перейдите на вкладку Общие .Click the General tab.

  10. В поле Параметры безопасности щелкните изменить пользователя или группу.In the Security options field, click Change User or Group.

  11. Введите имя учетной записи, которая является членом группы EAs, нажмите кнопку Проверить имена и нажмите кнопку ОК.Type the name of an account that is a member of the EAs group, click Check Names, and click OK.

  12. Выберите выполнить, если пользователь вошел в систему или нет , и выберите параметр не хранить пароль.Select Run whether the user is logged on or not and select Do not store password. Задача будет иметь доступ только к локальным ресурсам компьютера.The task will only have access to local computer resources.

  13. Нажмите кнопку ОК.Click OK.

  14. Появится диалоговое окно, запрашивающее учетные данные пользователя для выполнения задачи.A dialog box should appear, requesting user account credentials to run the task.

  15. После ввода учетных данных нажмите кнопку ОК.After entering the credentials, click OK.

  16. Появится диалоговое окно, похожее на следующее.A dialog box similar to the following should appear.

    Снимок экрана, на котором показано диалоговое окно планировщик задач.

Проверка параметров объекта групповой политики "запретить вход в качестве службы"Verify "Deny log on as a service" GPO Settings

  1. Войдите в систему с любого рядового сервера или рабочей станции, затронутой изменением объектов групповой политики.From any member server or workstation affected by the GPO changes, log on locally.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  3. В поле поиска введите Services и щелкните службы.In the Search box, type services, and click Services.

  4. Выберите и дважды щелкните Диспетчер очереди печати.Locate and double-click Print Spooler.

  5. Перейдите на вкладку Вход в систему.Click the Log On tab.

  6. В разделе вход как выберите Эта учетная запись.Under Log on as, select This account.

  7. Нажмите кнопку Обзор, введите имя учетной записи, которая является членом группы EAS, нажмите кнопку Проверить имена и нажмите кнопку ОК.Click Browse, type the name of an account that is a member of the EAs group, click Check Names, and click OK.

  8. В разделе пароль: и Подтверждение пароля введите пароль выбранной учетной записи и нажмите кнопку ОК.Under Password: and Confirm password, type the selected account's password, and click OK.

  9. Еще три раза нажмите кнопку ОК .Click OK three more times.

  10. Щелкните правой кнопкой мыши службу диспетчера очереди печати и выберите перезапустить.Right-click the Print Spooler service and select Restart.

  11. При перезапуске службы появится диалоговое окно, похожее на следующее.When the service is restarted, a dialog box similar to the following should appear.

    Снимок экрана, на котором показано сообщение о том, что Windows не удалось запустить сервер диспетчера очереди печати.

Отмена изменений в службе диспетчера очереди печатиRevert Changes to the Printer Spooler Service

  1. Войдите в систему с любого рядового сервера или рабочей станции, затронутой изменением объектов групповой политики.From any member server or workstation affected by the GPO changes, log on locally.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  3. В поле поиска введите Services и щелкните службы.In the Search box, type services, and click Services.

  4. Выберите и дважды щелкните Диспетчер очереди печати.Locate and double-click Print Spooler.

  5. Перейдите на вкладку Вход в систему.Click the Log On tab.

  6. В разделе вход как выберите локальную системную учетную запись и нажмите кнопку ОК.Under Log on as, select the Local System account, and click OK.

Проверка параметров объекта групповой политики "Запретить локальный вход в систему"Verify "Deny log on locally" GPO Settings

  1. С любого рядового сервера или рабочей станции, на который влияет изменение объекта групповой политики, попробуйте войти в систему локально с помощью учетной записи, которая является членом группы EA.From any member server or workstation affected by the GPO changes, attempt to log on locally using an account that is a member of the EA group. Появится диалоговое окно, похожее на следующее.A dialog box similar to the following should appear.

    Снимок экрана, на котором показано сообщение о том, что метод входа, который вы используете, не разрешен.

Проверка параметров объекта групповой политики "запретить вход в систему с помощью службы удаленных рабочих столов"Verify "Deny log on through Remote Desktop Services" GPO Settings

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  2. В поле поиска введите Подключение к удаленному рабочему столу и нажмите кнопку Подключение к удаленному рабочему столу.In the Search box, type remote desktop connection, and then click Remote Desktop Connection.

  3. В поле компьютер введите имя компьютера, к которому требуется подключиться, и нажмите кнопку подключить.In the Computer field, type the name of the computer that you want to connect to, and then click Connect. (Можно также ввести IP-адрес вместо имени компьютера.)(You can also type the IP address instead of the computer name.)

  4. При появлении запроса введите учетные данные для учетной записи, которая является членом группы EA.When prompted, provide credentials for an account that is a member of the EA group.

  5. Появится диалоговое окно, похожее на следующее.A dialog box similar to the following should appear.

    безопасные группы администраторов предприятия