Приложение Е. Защита групп администраторов домена в Active Directory

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Приложение Е. Защита групп администраторов домена в Active Directory

Как и в случае с группой корпоративных Администратор (EA), членство в группе доменных Администратор (DA) должно потребоваться только в сценариях сборки или аварийного восстановления. В группе DA не должно быть учетных записей пользователей, за исключением встроенной учетной записи Администратор istrator для домена, если она была защищена, как описано в приложении D. Защита встроенных учетных записей Администратор istrator в Active Directory.

По умолчанию Администратор домена являются членами локальных групп Администратор istrators на всех серверах-членах и рабочих станциях в соответствующих доменах. Это вложение по умолчанию не должно быть изменено для поддержки и аварийного восстановления. Если доменные Администратор удалены из локальных групп Администратор istrators на серверах-членах, группа должна быть добавлена в группу Администратор istrators на каждом сервере-члене и рабочей станции в домене. Каждая группа доменных Администратор домена должна быть защищена, как описано в пошаговые инструкции, приведенные ниже.

Для группы доменных Администратор в каждом домене в лесу:

  1. Удалите всех членов из группы, за исключением встроенной учетной записи Администратор istrator для домена, если она была защищена, как описано в приложении D. Защита встроенных учетных записей Администратор istrator в Active Directory.

  2. В GPOs, связанных с подразделениями, содержащими серверы-члены и рабочие станции в каждом домене, группа DA должна быть добавлена в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначения прав пользователя:

    • Отказ в доступе к компьютеру из сети

    • Отказ во входе в качестве пакетного задания

    • Отказать во входе в качестве службы

    • Запретить локальный вход

    • Запрет входа через права пользователя служб удаленных рабочих столов

  3. Аудит должен быть настроен для отправки оповещений, если какие-либо изменения вносятся в свойства или членство в группе доменных Администратор.

Пошаговые инструкции по удалению всех участников из группы Администратор домена

  1. В диспетчер сервера щелкните "Сервис" и щелкните Пользователи и компьютеры Active Directory.

  2. Чтобы удалить всех участников из группы DA, выполните следующие действия.

    1. Дважды щелкните группу доменных Администратор и перейдите на вкладку "Члены".

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. Выберите члена группы, нажмите кнопку "Удалить", нажмите кнопку "Да" и нажмите кнопку "ОК".

  3. Повторите шаг 2, пока все члены группы DA не будут удалены.

Пошаговые инструкции по защите доменных Администратор в Active Directory

  1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление групповыми политиками".

  2. В дереве консоли разверните <узел Forest>\Domain\<Domain>, а затем объекты групповой политики (где <лес> является именем леса и <доменом> — это имя домена, в котором нужно задать групповую политику).

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики и нажмите кнопку "Создать".

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. В диалоговом окне "Создать объект групповой политики" введите <имя> групповой политики и нажмите кнопку "ОК" (где <имя> групповой политики — имя объекта групповой политики).

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. В области сведений щелкните правой кнопкой мыши <имя> групповой политики и нажмите кнопку "Изменить".

  6. Перейдите к разделу "Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики" и щелкните "Назначение прав пользователя".

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. Настройте права пользователя, чтобы запретить членам группы доменных Администратор доступ к серверам-членам и рабочим станциям по сети, выполнив следующие действия:

    1. Дважды щелкните "Запретить доступ к этому компьютеру" из сети и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите Администратор домена, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. Нажмите кнопку "ОК" и "ОК".

  8. Настройте права пользователя, чтобы запретить вход членам группы DA в качестве пакетного задания, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход в качестве пакетного задания " и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите Администратор домена, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. Нажмите кнопку "ОК" и "ОК".

  9. Настройте права пользователя, чтобы запретить вход членам группы DA в качестве службы, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход в качестве службы " и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите Администратор домена, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. Нажмите кнопку "ОК" и "ОК".

  10. Настройте права пользователя для предотвращения входа в группу доменных Администратор для локального входа на серверы-члены и рабочие станции, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход" локально и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите Администратор домена, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. Нажмите кнопку "ОК" и "ОК".

  11. Настройте права пользователя, чтобы запретить членам группы доменных Администратор доступ к серверам-членам и рабочим станциям через службы удаленных рабочих столов, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход" через службы удаленных рабочих столов и выберите "Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите Администратор домена, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. Нажмите кнопку "ОК" и "ОК".

  12. Чтобы выйти из редактора управления групповыми политиками, нажмите кнопку "Файл" и нажмите кнопку " Выйти".

  13. В службе управления групповыми политиками свяжите объект групповой политики с сервером-членом и подразделениями рабочих станций, выполнив следующие действия.

    1. Перейдите к <лесу>\Domain\<Domain> (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется задать групповую политику).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применен объект групповой политики, и щелкните ссылку на существующий объект групповой политики.

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. Выберите только что созданный объект групповой политики и нажмите кнопку "ОК".

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. Создайте ссылки на все остальные подразделения, содержащие рабочие станции.

    5. Создайте ссылки на все остальные подразделения, содержащие серверы-члены.

      Внимание

      Если серверы переходов используются для администрирования контроллеров домена и Active Directory, убедитесь, что серверы переходов находятся в подразделении, к которому эти объекты групповой политики не связаны.

Этапы проверки

Убедитесь, что Параметры групповой политики запретить доступ к этому компьютеру из сети

С любого сервера-члена или рабочей станции, не затронутых изменениями объекта групповой политики (например, с помощью сервера перехода), попытайтесь получить доступ к серверу-члену или рабочей станции через сеть, затронутую изменениями групповой политики. Чтобы проверить параметры групповой политики, попытайтесь сопоставить системный диск с помощью команды NET USE .

  1. Войдите локально с помощью учетной записи, являющейся членом группы доменных Администратор.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите командную строку правой кнопкой мыши и нажмите кнопку "Запустить от имени администратора", чтобы открыть командную строку с повышенными привилегиями.

  4. Когда появится запрос на утверждение повышения прав, нажмите кнопку "Да".

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. В окне командной строки введите net use \\<Server Name>\c$, где <имя> сервера — имя сервера-члена или рабочей станции, к которой вы пытаетесь получить доступ по сети.

  6. На следующем снимка экрана показано сообщение об ошибке, которое должно появиться.

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

Проверка "Запрет входа в качестве пакетного задания" Параметры групповой политики

На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

Создание пакетного файла

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите блокнот и щелкните Блокнот.

  3. В Блокнот введите dir c:.

  4. Нажмите кнопку " Файл" и нажмите кнопку "Сохранить как".

  5. В поле "Имя файла" введите <имя файла>.bat (где <имя> файла — имя нового пакетного файла).

Планирование задачи

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите планировщик задач и нажмите кнопку "Планировщик задач".

    Примечание.

    На компьютерах под управлением Windows 8 в поле поиска введите задачи расписания и щелкните "Расписание задач".

  3. В строке меню планировщика задач щелкните "Действие" и нажмите кнопку "Создать задачу".

  4. В диалоговом окне "Создание задачи" введите< имя> задачи (где <имя> задачи — имя новой задачи).

  5. Перейдите на вкладку "Действия " и нажмите кнопку "Создать".

  6. В поле "Действие" выберите "Запустить программу".

  7. В разделе "Программа или сценарий" нажмите кнопку "Обзор", найдите и выберите пакетный файл, созданный в разделе "Создать пакетный файл " и нажмите кнопку "Открыть".

  8. Щелкните OK.

  9. Перейдите на вкладку Общие.

  10. В разделе "Параметры безопасности " нажмите кнопку "Изменить пользователя" или "Группа".

  11. Введите имя учетной записи, являющейся членом группы доменных Администратор s, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

  12. Выберите "Запустить", вошедший в систему или нет , и выберите " Не хранить пароль". Задача будет иметь доступ только к ресурсам локального компьютера.

  13. Щелкните OK.

  14. Появится диалоговое окно, запрашивающее учетные данные учетной записи пользователя для выполнения задачи.

  15. После ввода учетных данных нажмите кнопку "ОК".

  16. Появится диалоговое окно, аналогичное приведенному ниже.

    Screenshot that shows the error that should occur after you enter the credentials.

Убедитесь, что Параметры групповой политики запретить вход в систему в качестве службы

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите службы и щелкните "Службы".

  4. Найдите и дважды щелкните "Печатать spooler".

  5. Перейдите на вкладку "Вход".

  6. В разделе "Вход как" выберите параметр "Эта учетная запись ".

  7. Нажмите кнопку "Обзор", введите имя учетной записи, являющейся членом группы "Доменные Администратор", нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

  8. В разделе "Пароль и подтверждение пароля" введите пароль выбранной учетной записи и нажмите кнопку "ОК".

  9. Нажмите кнопку "ОК " еще три раза.

  10. Щелкните правой кнопкой мыши "Печатать spooler" и нажмите кнопку "Перезапустить".

  11. При перезапуске службы появится диалоговое окно, аналогичное приведенному ниже.

    Screenshot that shows the dialog box that appears after the service is restarted.

Восстановление изменений в службе spooler принтера

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите службы и щелкните "Службы".

  4. Найдите и дважды щелкните "Печатать spooler".

  5. Перейдите на вкладку "Вход".

  6. В разделе "Вход как" выберите учетную запись локальной системы и нажмите кнопку "ОК".

Проверка "Запрет входа локально" Параметры групповой политики

  1. С любого сервера-члена или рабочей станции, затронутых изменениями групповой политики, попытайтесь войти локально с помощью учетной записи, являющейся членом группы доменных Администратор s. Появится диалоговое окно, аналогичное приведенному ниже.

    secure domain admin groups

Проверьте Параметры групповой политики "Запрет входа в систему через службы удаленных рабочих столов"

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите подключение к удаленному рабочему столу и щелкните "Удаленный рабочий стол" Подключение.

  3. В поле "Компьютер" введите имя компьютера, к которому требуется подключиться, и щелкните Подключение. (Можно также ввести IP-адрес вместо имени компьютера.)

  4. При появлении запроса укажите учетные данные для учетной записи, являющейся членом группы доменных Администратор.

  5. Появится диалоговое окно, аналогичное приведенному ниже.

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.