附录 G：保护 Active Directory 中的 Administrators 组

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附录 G：保护 Active Directory 中的 Administrators 组

与企业管理员 (EA) 和域管理员 (DA) 组的情况一样，只有在生成或灾难恢复方案中才需要内置管理员 (BA) 组的成员身份。 管理员组中不应有任何日常用户帐户，但域的内置管理员帐户除外，前提是已按照附录 D：保护 Active Directory 中的内置管理员帐户中所述进行了保护。

默认情况下，管理员是其各自域中大多数 AD DS 对象的所有者。 在需要拥有或能够获取对象所有权的生成或灾难恢复方案中，可能需要此组的成员身份。 此外，DA 和 EA 会凭借其在管理员组中的默认成员资格继承他们的许多权利和权限。 不应修改 Active Directory 中特权组的默认组嵌套，应按照以下分步说明所述保护每个域的管理员组。

!请注意：在生产环境中执行之前，应在非生产环境中对本文档中介绍的步骤进行彻底测试。

对于林中每个域中的管理员组：

1. 删除管理员组中的所有成员，域的内置管理员帐户可能除外，前提是已按照附录 D：保护 Active Directory 中的内置管理员帐户中所述进行了保护。

2. 在链接到包含每个域中的成员服务器和工作站的 OU 的 GPO 中，应将 BA 组添加到以下用户权限中（路径为“计算机配置”\“策略”\“Windows 设置”\“安全设置”\“本地策略”\“用户权限分配”）：

   • 拒绝通过网络访问该计算机

   • 拒绝以批处理作业身份登录

   • 拒绝以服务登录

3. 在林中每个域的域控制器 OU 中，应为管理员组授予以下用户权限：

   • 从网络访问此计算机

   • 允许本地登录

   • 允许通过远程桌面服务登录

4. 审核应配置为在对管理员组的属性或成员身份进行任何修改时发送警报。

有关从管理员组中删除所有成员的分步说明

1. 在“服务器管理器”中，单击“工具”，然后单击“Active Directory 用户和计算机”。

2. 若要从管理员组中删除所有成员，请执行以下步骤：

   1. 双击“管理员”组，然后单击“成员”选项卡。

      

   2. 选择该组的成员，依次单击“删除”、“是”和“确定”。

3. 重复步骤 2，直到删除了管理员组的所有成员。

有关保护 Active Directory 中的管理员组的分步说明

1. 在“服务器管理器”中，单击“工具”，然后单击“组策略管理”。

2. 在控制台树中，展开“<Forest>”\“域”\“<Domain>”，然后展开“组策略对象”（其中“<Forest>”是林的名称，“<Domain>”是要在其中设置组策略的域的名称）。

3. 在控制台树中，右键单击“组策略对象”，然后单击“新建”。

   

4. 在“新建 GPO”对话框中，键入“GPO 名称”，然后单击“确定”（其中“GPO 名称”是此 GPO 的名称）。<>

   

5. 在详细信息窗格中，右键单击“GPO 名称”<>，然后单击“编辑”。

6. 导航到“Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies”，然后单击“用户权限分配”。

   

7. 通过执行以下操作配置用户权限，以防止管理员组的成员通过网络访问成员服务器和工作站：

   1. 双击“拒绝通过网络访问该计算机”，然后选择“定义这些策略设置”。

   2. 单击“添加用户或组”，然后单击“浏览”。

   3. 键入“Administrators”，单击“检查名称”，然后单击“确定”。

      

   4. 单击两次“确定”。

8. 通过执行以下操作配置用户权限，以防止管理员组的成员以批处理作业形式登录：

   1. 双击“拒绝以批处理作业登录”，然后选择“定义这些策略设置”。

   2. 单击“添加用户或组”，然后单击“浏览”。

   3. 键入“Administrators”，单击“检查名称”，然后单击“确定”。

      

   4. 单击两次“确定”。

9. 通过执行以下操作配置用户权限，以防止管理员组的成员以服务形式登录：

   1. 双击“拒绝以服务登录”，然后选择“定义这些策略设置”。

   2. 单击“添加用户或组”，然后单击“浏览”。

   3. 键入“Administrators”，单击“检查名称”，然后单击“确定”。

      

   4. 单击两次“确定”。

10. 要退出“组策略管理编辑器”，请依次单击“文件”和“退出”。

11. 在“组策略管理”中，通过执行以下操作将 GPO 链接到成员服务器和工作站 OU：

    1. 导航到“<Forest>>”\“域”\“<Domain>”（其中“<Forest>”是林的名称，“<Domain>”是要设置组策略的域的名称）。

    2. 右键单击 GPO 将应用到的 OU，然后单击“链接现有 GPO”。

       

    3. 选择你刚创建的 GPO 并单击“确定”。

       

    4. 创建包含工作站的所有其他 OU 的链接。

    5. 创建包含成员服务器的所有其他 OU 的链接。

       重要

       如果使用跳转服务器来管理域控制器和 Active Directory，请确保跳转服务器位于此 GPO 未链接到的 OU 中。

       注意

       在 GPO 中对管理员组实现限制时，除了域的管理员组外，Windows 还会将设置应用于计算机的本地管理员组的成员。 因此，在对管理员组实现限制时，应特别注意。 尽管建议在可行的情况下禁止管理员组成员的网络、批处理和服务登录，但不要限制本地登录或通过远程桌面服务登录。 阻止这些登录类型可能会导致本地管理员组的成员无法对计算机进行合法管理。

       以下屏幕截图显示了阻止滥用内置本地和域管理员帐户以及内置本地或域管理员组的配置设置。 请注意，“拒绝通过远程桌面服务登录”用户权限不包括管理员组，因为将其包含在此设置中也会阻止作为本地计算机管理员组成员的帐户的这些登录。 如果计算机上的服务配置为在本部分所述的任何特权组的上下文中运行，则实现这些设置可能会导致服务和应用程序失败。 因此，与本部分中的所有建议一样，应全面测试设置在环境中的适用性。

       

有关为管理员组授予用户权限的分步说明

1. 在“服务器管理器”中，单击“工具”，然后单击“组策略管理”。

2. 在控制台树中，展开“<Forest>”\“域”\“<Domain>”，然后展开“组策略对象”（其中“<Forest>”是林的名称，“<Domain>”是要在其中设置组策略的域的名称）。

3. 在控制台树中，右键单击“组策略对象”，然后单击“新建”。

   

4. 在“新建 GPO”对话框中，键入“GPO 名称”<>，然后单击“确定”（其中“GPO 名称”<>是此 GPO 的名称）。

   

5. 在详细信息窗格中，右键单击“GPO 名称”<>，然后单击“编辑”。

6. 导航到“Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies”，然后单击“用户权限分配”。

   

7. 通过执行以下操作配置用户权限，以允许管理员组的成员通过网络访问域控制器：

   1. 双击“从网络访问此计算机”，然后选择“定义这些策略设置”。

   2. 单击“添加用户或组”，然后单击“浏览”。

   3. 单击“添加用户或组”，然后单击“浏览”。

      

   4. 单击两次“确定”。

8. 通过执行以下操作配置用户权限，以允许管理员组的成员在本地登录：

   1. 双击“允许本地登录”，然后选择“定义这些策略设置”。

   2. 单击“添加用户或组”，然后单击“浏览”。

   3. 键入“Administrators”，单击“检查名称”，然后单击“确定”。

      

   4. 单击两次“确定”。

9. 通过执行以下操作配置用户权限，以允许管理员组的成员通过远程桌面服务登录：

   1. 双击“允许通过远程桌面服务登录”，然后选择“定义这些策略设置”。

   2. 单击“添加用户或组”，然后单击“浏览”。

   3. 键入“Administrators”，单击“检查名称”，然后单击“确定”。

      

   4. 单击两次“确定”。

10. 要退出“组策略管理编辑器”，请依次单击“文件”和“退出”。

11. 在“组策略管理”中，通过以下操作将 GPO 链接到域控制器 OU：

    1. 导航到“<Forest>”\“域”\“<Domain>”（其中“<Forest>”是林的名称，“<Domain>”是要设置组策略的域的名称）。

    2. 右键单击域控制器 OU，然后单击“链接现有 GPO”。

       

    3. 选择你刚创建的 GPO 并单击“确定”。

       

验证步骤

验证“拒绝通过网络访问该计算机”GPO 设置

在不受 GPO 更改影响的任何成员服务器或工作站（例如“跳转服务器”）中，尝试通过网络访问受 GPO 更改影响的成员服务器或工作站。 要验证 GPO 设置，请尝试使用 NET USE 命令映射系统驱动器。

1. 使用管理员组成员帐户在本地登录。

2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

3. 在“搜索”框中，键入“命令提示符”，右键单击“命令提示符”，然后单击“以管理员身份运行”以打开提升的命令提示符。

4. 当系统提示批准提升时，单击“是”。

   

5. 在“命令提示符”窗口中，键入“net use \\Server Name\c$”<>，其中“Server Name”<>是你尝试通过网络访问的成员服务器或工作站的名称。

6. 以下屏幕截图显示了应出现的错误消息。

   

验证“拒绝以批处理作业登录”GPO 设置

在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

创建批处理文件

1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

2. 在“搜索”框中，键入“记事本”，然后单击“记事本”。

3. 在记事本中键入“dir c:”。

4. 依次单击“文件”和“另存为”。

5. 在“文件名”字段中，键入“Filename.bat”<>（其中“Filename”是新批处理文件的名称）。<>

计划任务

1. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

2. 在“搜索”框中，键入“任务计划程序”，然后单击“任务计划程序”。

   注意

   在运行 Windows 8 的计算机上，在“搜索”框中键入“计划任务”，然后单击“计划任务”。

3. 依次单击“操作”和“创建任务”。

4. 在“创建任务”对话框中，键入“任务名称”<>（其中“任务名称”是新任务的名称）。<>

5. 单击“操作”选项卡，然后单击“新建”。

6. 在“操作”字段中，选择“启动程序”。

7. 在“程序/脚本”字段中，单击“浏览”，找到并选择在“创建批处理文件”部分创建的批处理文件，然后单击“打开”。

8. 单击“确定”。

9. 单击“常规”选项卡。

10. 在“安全选项”字段中，单击“更改用户或组”。

11. 键入管理员组成员帐户的名称，然后依次单击“检查名称”和“确定”。

12. 选择“运行(无论用户是否登录)”和“不存储密码”。 该任务将只能访问本地计算机资源。

13. 单击“确定”。

14. 此时应显示一个对话框，请求使用用户帐户凭据运行任务。

15. 输入密码后，单击“确定”。

16. 随即应显示类似于以下的对话框。

    

验证“拒绝以服务登录”GPO 设置

1. 在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

3. 在“搜索”框中，键入“服务”，然后单击“服务”。

4. 找到并双击“打印后台处理程序”。

5. 单击“登录”选项卡。

6. 在“登录身份”字段中，选择“此帐户”。

7. 单击“浏览”，键入管理员组成员帐户的名称，然后依次单击“检查名称”和“确定”。

8. 在“密码”和“确认密码”字段中，键入所选帐户的密码，然后单击“确定”。

9. 再单击三次“确定”。

10. 右键单击“打印后台处理程序”，然后单击“重启”。

11. 重启服务时，应显示如下所示的对话框。

    

还原对打印机后台处理程序服务所做的更改

1. 在本地从受 GPO 更改影响的任何成员服务器或工作站登录。

2. 使用鼠标将指针移动到屏幕的右上角或右下角。 超级按钮栏出现时，单击“搜索”。

3. 在“搜索”框中，键入“服务”，然后单击“服务”。

4. 找到并双击“打印后台处理程序”。

5. 单击“登录”选项卡。

6. 在“登录身份”字段中，单击“本地系统”帐户，然后单击“确定”。