Приложение Е. Защита групп администраторов домена в Active DirectoryAppendix F: Securing Domain Admins Groups in Active Directory

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Приложение Е. Защита групп администраторов домена в Active DirectoryAppendix F: Securing Domain Admins Groups in Active Directory

Как и в случае с группой "Администраторы предприятия", членство в группе "Администраторы домена" (DA) должно быть обязательным только в сценариях сборки или аварийного восстановления.As is the case with the Enterprise Admins (EA) group, membership in the Domain Admins (DA) group should be required only in build or disaster recovery scenarios. В группе DA не должно быть повседневных учетных записей пользователей, за исключением встроенной учетной записи администратора домена, если он защищен, как описано в приложении г. защита Built-In учетных записей администраторов в Active Directory.There should be no day-to-day user accounts in the DA group with the exception of the built-in Administrator account for the domain, if it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

Администраторы домена по умолчанию являются членами локальных групп администраторов на всех рядовых серверах и рабочих станциях в соответствующих доменах.Domain Admins are, by default, members of the local Administrators groups on all member servers and workstations in their respective domains. Это вложение по умолчанию не должно изменяться в целях поддержки и аварийного восстановления.This default nesting should not be modified for supportability and disaster recovery purposes. Если администраторы домена удалены из групп локальных администраторов на рядовых серверах, группа должна быть добавлена в группу администраторов на каждом сервере и рабочей станции в домене.If Domain Admins have been removed from the local Administrators groups on the member servers, the group should be added to the Administrators group on each member server and workstation in the domain. Группа администраторов домена каждого домена должна быть защищена, как описано в следующих пошаговых инструкциях.Each domain's Domain Admins group should be secured as described in the step-by-step instructions that follow.

Для группы Администраторы домена в каждом домене леса:For the Domain Admins group in each domain in the forest:

  1. Удалите всех членов из группы с возможным исключением встроенной учетной записи администратора для домена, если оно защищено, как описано в приложении г. защита Built-In учетных записей администраторов в Active Directory.Remove all members from the group, with the possible exception of the built-in Administrator account for the domain, provided it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

  2. В объектах групповой политики, связанных с подразделениями, содержащими рядовые серверы и рабочие станции в каждом домене, Группа DA должна быть добавлена к следующим правам пользователя в Computer \ политики \ параметры безопасности \ локальные политики Policies\User назначения прав:In GPOs linked to OUs containing member servers and workstations in each domain, the DA group should be added to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments:

    • Запретить сетевой доступ к этому компьютеру.Deny access to this computer from the network

    • Отказ во входе в качестве пакетного заданияDeny log on as a batch job

    • Отказать во входе в качестве службыDeny log on as a service

    • Запретить локальный входDeny log on locally

    • Запретить вход в систему через службы удаленных рабочих столов прав пользователяDeny log on through Remote Desktop Services user rights

  3. Аудит следует настроить для отправки оповещений при внесении любых изменений в свойства или членство в группе "Администраторы домена".Auditing should be configured to send alerts if any modifications are made to the properties or membership of the Domain Admins group.

Пошаговые инструкции по удалению всех членов из группы "Администраторы домена"Step-by-Step Instructions for Removing all Members from the Domain Admins Group

  1. В Диспетчер сервера щелкните средства и выберите Active Directory пользователи и компьютеры.In Server Manager, click Tools, and click Active Directory Users and Computers.

  2. Чтобы удалить всех членов группы DA, выполните следующие действия.To remove all members from the DA group, perform the following steps:

    1. Дважды щелкните группу Администраторы домена и перейдите на вкладку члены .Double-click the Domain Admins group and click the Members tab.

      Снимок экрана, на котором показана вкладка "члены" для удаления всех членов из группы "Администраторы домена".

    2. Выберите участника группы, нажмите кнопку Удалить, выберите Да, а затем нажмите кнопку ОК.Select a member of the group, click Remove, click Yes, and click OK.

  3. Повторите шаг 2, пока не будут удалены все члены группы DA.Repeat step 2 until all members of the DA group have been removed.

Пошаговые инструкции по защите администраторов домена в Active DirectoryStep-by-Step Instructions to Secure Domain Admins in Active Directory

  1. В Диспетчер сервера щелкните средства и выберите Групповая политика управление.In Server Manager, click Tools, and click Group Policy Management.

  2. В дереве консоли разверните узел <Forest> \ домены \ <Domain> , а затем Групповая политика объекты (где <Forest> — имя леса, а <Domain> — имя домена, в котором нужно задать групповая политика).In the console tree, expand <Forest>\Domains\<Domain>, and then Group Policy Objects (where <Forest> is the name of the forest and <Domain> is the name of the domain where you want to set the Group Policy).

  3. В дереве консоли щелкните правой кнопкой мыши элемент Групповая политика объекты и выберите команду создать.In the console tree, right-click Group Policy Objects, and click New.

    Снимок экрана, на котором показано, где можно выбрать новое, чтобы защитить администраторов домена в Active Directory.

  4. В диалоговом окне Создание объекта групповой политики введите <GPO Name> и нажмите кнопку ОК (где <GPO Name> — это имя этого объекта групповой политики).In the New GPO dialog box, type <GPO Name>, and click OK (where <GPO Name> is the name of this GPO).

    Снимок экрана, на котором показано, где можно присвоить имя объекту групповой политики, чтобы защитить администраторов домена в Active Directory.

  5. В области сведений щелкните правой кнопкой мыши <GPO Name> и выберите команду изменить.In the details pane, right-click <GPO Name>, and click Edit.

  6. Перейдите к компьютеру \ политики \ Параметры безопасности Локальные политики и щелкните Назначение прав пользователя.Navigate to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies, and click User Rights Assignment.

    Снимок экрана, на котором показано расположение для навигации. можно выбрать администратора прав пользователя для защиты администраторов домена в Active Directory.

  7. Настройте права пользователя, чтобы запретить членам группы "Администраторы домена" доступ к серверам и рабочим станциям по сети, выполнив следующие действия.Configure the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network by doing the following:

    1. Дважды щелкните " запретить доступ к этому компьютеру из сети" и выберите " определить параметры политики".Double-click Deny access to this computer from the network and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы домена, щелкните Проверить имена и нажмите кнопку ОК.Type Domain Admins, click Check Names, and click OK.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя для предотвращения доступа членов группы "Администраторы домена" к серверам и рабочим станциям по сети.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  8. Настройте права пользователя, чтобы запретить членам группы DA входить в систему в качестве пакетного задания, выполнив следующие действия.Configure the user rights to prevent members of the DA group from logging on as a batch job by doing the following:

    1. Дважды щелкните отклонить вход в качестве пакетного задания и выберите определить эти параметры политики.Double-click Deny log on as a batch job and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы домена, щелкните Проверить имена и нажмите кнопку ОК.Type Domain Admins, click Check Names, and click OK.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя для предотвращения входа членов группы DA в качестве пакетного задания.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  9. Настройте права пользователя, чтобы запретить членам группы DA входить в систему в качестве службы, выполнив следующие действия.Configure the user rights to prevent members of the DA group from logging on as a service by doing the following:

    1. Дважды щелкните запретить вход в качестве службы и выберите определить эти параметры политики.Double-click Deny log on as a service and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы домена, щелкните Проверить имена и нажмите кнопку ОК.Type Domain Admins, click Check Names, and click OK.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя для предотвращения входа членов группы DA в качестве службы.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  10. Настройте права пользователя, чтобы запретить членам группы "Администраторы домена" входить в локальную систему на рядовые серверы и рабочие станции. для этого выполните следующие действия.Configure the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations by doing the following:

    1. Дважды щелкните Отклонить локальный вход в систему и выберите определить эти параметры политики.Double-click Deny log on locally and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы домена, щелкните Проверить имена и нажмите кнопку ОК.Type Domain Admins, click Check Names, and click OK.

      Снимок экрана, показывающий, как проверить, настроены ли права пользователя таким способом, чтобы члены группы "Администраторы домена" не вошли в локальную систему на рядовые серверы и рабочие станции.

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  11. Настройте права пользователя, чтобы запретить членам группы "Администраторы домена" доступ к серверам и рабочим станциям через службы удаленных рабочих столов, выполнив следующие действия.Configure the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services by doing the following:

    1. Дважды щелкните элемент запретить вход через службы удаленных рабочих столов и выберите определить эти параметры политики.Double-click Deny log on through Remote Desktop Services and select Define these policy settings.

    2. Нажмите кнопку Добавить пользователя или группу и нажмите кнопку Обзор.Click Add User or Group and click Browse.

    3. Введите Администраторы домена, щелкните Проверить имена и нажмите кнопку ОК.Type Domain Admins, click Check Names, and click OK.

      Снимок экрана, показывающий, как убедиться, что вы настроили права пользователя, чтобы запретить членам группы "Администраторы домена" доступ к серверам и рабочим станциям через службы удаленных рабочих столов

    4. Нажмите кнопку ОК, а затем ОК еще раз.Click OK, and OK again.

  12. Чтобы выйти из редактор "Управление групповыми политиками", в меню файл выберите команду выход.To exit Group Policy Management Editor, click File, and click Exit.

  13. В групповая политика управления свяжите объект групповой политики с подразделениями рядового сервера и рабочей станции, выполнив следующие действия.In Group Policy Management, link the GPO to the member server and workstation OUs by doing the following:

    1. Перейдите к <Forest> \домаинс \ <Domain> (где <Forest> — имя леса, а <Domain> — имя домена, в котором вы хотите задать групповая политика).Navigate to the <Forest>\Domains\<Domain> (where <Forest> is the name of the forest and <Domain> is the name of the domain where you want to set the Group Policy).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применен объект GPO, и выберите команду связать существующий объект GPO.Right-click the OU that the GPO will be applied to and click Link an existing GPO.

      Снимок экрана, на котором показана ссылка на существующий пункт меню GPO при щелчке правой кнопкой мыши подразделения, к которому будет применен объект GPO.

    3. Выберите только что созданный объект групповой политики и нажмите кнопку ОК.Select the GPO that you just created and click OK.

      Снимок экрана, на котором показано, где выбрать объект групповой политики, который вы только что создали при связывании объекта групповой политики с рядовым сервером.

    4. Создайте ссылки на все подразделения, содержащие рабочие станции.Create links to all other OUs that contain workstations.

    5. Создайте ссылки на все подразделения, содержащие рядовые серверы.Create links to all other OUs that contain member servers.

      Важно!

      Если для администрирования контроллеров домена и Active Directory используются серверы переходов, убедитесь, что серверы переходов расположены в подразделении, к которому не привязаны объекты GPO.If jump servers are used to administer domain controllers and Active Directory, ensure that jump servers are located in an OU to which this GPOs is not linked.

Этапы проверкиVerification Steps

Проверьте параметры объекта групповой политики "запретить доступ к этому компьютеру из сети"Verify "Deny access to this computer from the network" GPO Settings

С любого рядового сервера или рабочей станции, на который не влияют изменения объекта групповой политики (например, "сервер переходов"), попытайтесь получить доступ к рядовому серверу или рабочей станции по сети, на которую влияют изменения объекта групповой политики.From any member server or workstation that is not affected by the GPO changes (such as a "jump server"), attempt to access a member server or workstation over the network that is affected by the GPO changes. Чтобы проверить параметры объекта групповой политики, попытайтесь выполнить сопоставление системного диска с помощью команды net use .To verify the GPO settings, attempt to map the system drive by using the NET USE command.

  1. Войдите в систему локально, используя учетную запись, которая является членом группы "Администраторы домена".Log on locally using an account that is a member of the Domain Admins group.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  3. В поле поиска введите командную строку, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора , чтобы открыть командную строку с повышенными привилегиями.In the Search box, type command prompt, right-click Command Prompt, and then click Run as administrator to open an elevated command prompt.

  4. При появлении запроса на подтверждение повышения прав нажмите кнопку Да.When prompted to approve the elevation, click Yes.

    Снимок экрана, на котором показано, где можно утвердить повышение прав при проверке параметров объекта групповой политики "запретить доступ к этому компьютеру".

  5. В окне командной строки введите net use \ \ <Server Name> \C $, где <Server Name> — это имя рядового сервера или рабочей станции, доступ к которой осуществляется по сети.In the Command Prompt window, type net use \\<Server Name>\c$, where <Server Name> is the name of the member server or workstation you're attempting to access over the network.

  6. На следующем снимке экрана показано сообщение об ошибке, которое должно появиться.The following screenshot shows the error message that should appear.

    Снимок экрана, показывающий сообщение об ошибке, которое должно появиться при попытке аккссс рядового сервера.

Проверка параметров объекта групповой политики "запретить вход в систему в качестве пакетного задания"Verify "Deny log on as a batch job" GPO Settings

Войдите в систему с любого рядового сервера или рабочей станции, затронутой изменением объектов групповой политики.From any member server or workstation affected by the GPO changes, log on locally.

Создание пакетного файлаCreate a Batch File
  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  2. В поле поиска введите Блокнот и щелкните Блокнот.In the Search box, type notepad, and click Notepad.

  3. В блокноте введите dir c:.In Notepad, type dir c:.

  4. Щелкните файл и выберите Сохранить как.Click File, and click Save As.

  5. В поле имя файла введите <Filename> . bat (где <Filename> — имя нового пакетного файла).In the File name field, type <Filename>.bat (where <Filename> is the name of the new batch file).

Планирование задачиSchedule a Task
  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  2. В поле поиска введите Task Scheduler (планировщик заданий) и нажмите кнопку планировщик задач.In the Search box, type task scheduler, and click Task Scheduler.

    Примечание

    На компьютерах под управлением Windows 8 в поле поиска введите Schedule Tasks (расписание задач) и щелкните Schedule Tasks (планирование задач).On computers running Windows 8, in the Search box, type schedule tasks, and click Schedule tasks.

  3. В строке меню планировщик задач выберите действие и щелкните создать задачу.In the Task Scheduler menu bar, click Action, and click Create Task.

  4. В диалоговом окне Создание задачи введите <Task Name> (где <Task Name> — имя новой задачи).In the Create Task dialog box, type <Task Name> (where <Task Name> is the name of the new task).

  5. Перейдите на вкладку действия и нажмите кнопку создать.Click the Actions tab, and click New.

  6. В поле действие выберите запустить программу.In the Action field, select Start a program.

  7. В разделе Программа/сценарий нажмите кнопку Обзор, найдите и выберите пакетный файл, созданный в разделе Создание пакетного файла , и нажмите кнопку Открыть.Under Program/script, click Browse, locate and select the batch file created in the Create a Batch File section, and click Open.

  8. Нажмите кнопку ОК.Click OK.

  9. Перейдите на вкладку Общие .Click the General tab.

  10. В разделе Параметры безопасности щелкните изменить пользователя или группу.Under Security options, click Change User or Group.

  11. Введите имя учетной записи, которая является членом группы "Администраторы домена", нажмите кнопку Проверить имена и нажмите кнопку ОК.Type the name of an account that is a member of the Domain Admins group, click Check Names, and click OK.

  12. Выберите выполнить, если пользователь вошел в систему или нет , и выберите параметр не хранить пароль.Select Run whether the user is logged on or not and select Do not store password. Задача будет иметь доступ только к локальным ресурсам компьютера.The task will only have access to local computer resources.

  13. Нажмите кнопку ОК.Click OK.

  14. Появится диалоговое окно, запрашивающее учетные данные пользователя для выполнения задачи.A dialog box should appear, requesting user account credentials to run the task.

  15. После ввода учетных данных нажмите кнопку ОК.After entering the credentials, click OK.

  16. Появится диалоговое окно, похожее на следующее.A dialog box similar to the following should appear.

    Снимок экрана, на котором показана ошибка, которая должна произойти после ввода учетных данных.

Проверка параметров объекта групповой политики "запретить вход в качестве службы"Verify "Deny log on as a service" GPO Settings
  1. Войдите в систему с любого рядового сервера или рабочей станции, затронутой изменением объектов групповой политики.From any member server or workstation affected by the GPO changes, log on locally.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  3. В поле поиска введите Services и щелкните службы.In the Search box, type services, and click Services.

  4. Выберите и дважды щелкните Диспетчер очереди печати.Locate and double-click Print Spooler.

  5. Перейдите на вкладку Вход в систему.Click the Log On tab.

  6. В разделе вход как выберите параметр Эта учетная запись .Under Log on as, select the This account option.

  7. Нажмите кнопку Обзор, введите имя учетной записи, которая является членом группы "Администраторы домена", нажмите кнопку Проверить имена и нажмите кнопку ОК.Click Browse, type the name of an account that is a member of the Domain Admins group, click Check Names, and click OK.

  8. В разделе пароль и Подтверждение пароля введите пароль выбранной учетной записи и нажмите кнопку ОК.Under Password and Confirm password, type the selected account's password, and click OK.

  9. Еще три раза нажмите кнопку ОК .Click OK three more times.

  10. Щелкните правой кнопкой мыши Диспетчер очереди печати и выберите команду перезапустить.Right-click Print Spooler and click Restart.

  11. При перезапуске службы появится диалоговое окно, похожее на следующее.When the service is restarted, a dialog box similar to the following should appear.

    Снимок экрана, показывающий диалоговое окно, отображаемое после перезапуска службы.

Отмена изменений в службе диспетчера очереди печатиRevert Changes to the Printer Spooler Service
  1. Войдите в систему с любого рядового сервера или рабочей станции, затронутой изменением объектов групповой политики.From any member server or workstation affected by the GPO changes, log on locally.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  3. В поле поиска введите Services и щелкните службы.In the Search box, type services, and click Services.

  4. Выберите и дважды щелкните Диспетчер очереди печати.Locate and double-click Print Spooler.

  5. Перейдите на вкладку Вход в систему.Click the Log On tab.

  6. В разделе вход как выберите локальную системную учетную запись и нажмите кнопку ОК.Under Log on as, select the Local System account, and click OK.

Проверка параметров объекта групповой политики "Запретить локальный вход в систему"Verify "Deny log on locally" GPO Settings
  1. С любого рядового сервера или рабочей станции, на которые вносятся изменения, попробуйте войти в систему локально с помощью учетной записи, которая является членом группы "Администраторы домена".From any member server or workstation affected by the GPO changes, attempt to log on locally using an account that is a member of the Domain Admins group. Появится диалоговое окно, похожее на следующее.A dialog box similar to the following should appear.

    группы администраторов защищенного домена

Проверка параметров объекта групповой политики "запретить вход в систему с помощью службы удаленных рабочих столов"Verify "Deny log on through Remote Desktop Services" GPO Settings
  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана.With the mouse, move the pointer into the upper-right or lower-right corner of the screen. Когда появится панель чудо , нажмите кнопку Поиск.When the Charms bar appears, click Search.

  2. В поле поиска введите Подключение к удаленному рабочему столу и нажмите кнопку Подключение к удаленному рабочему столу.In the Search box, type remote desktop connection, and click Remote Desktop Connection.

  3. В поле компьютер введите имя компьютера, к которому требуется подключиться, и нажмите кнопку подключить.In the Computer field, type the name of the computer that you want to connect to, and click Connect. (Можно также ввести IP-адрес вместо имени компьютера.)(You can also type the IP address instead of the computer name.)

  4. При появлении запроса введите учетные данные для учетной записи, которая является членом группы "Администраторы домена".When prompted, provide credentials for an account that is a member of the Domain Admins group.

  5. Появится диалоговое окно, похожее на следующее.A dialog box similar to the following should appear.

    Снимок экрана, на котором показано сообщение, указывающее, что используемый метод входа не разрешен.