附錄 G︰保護 Active Directory 中的 Administrators 群組
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
附錄 G︰保護 Active Directory 中的 Administrators 群組
如同 Enterprise Admins (EA) 和 Domain Admins (DA) 群組的情況,內建的 Administrators (BA) 群組中的成員資格只有在組建或災害復原案例中才需要。 Administrators 群組中不應該有日常使用者帳戶,該網域內建的 Administrator 帳戶除外 (如已依照附錄 D︰保護 Active Directory 中的內建的 Administrator 帳戶描述,受保護的話)。
根據預設,系統管理員是各自網域中大部分 AD DS 物件的擁有者。 組建或災害復原案例中可能需要此群組中的成員資格,這些案例需要擁有權或取得物件擁有權的能力。 此外,DA 和 EA 會依照在 Administrators 群組中的預設成員資格,繼承一些權限。 不應修改 Active Directory 中特殊權限群組的預設群組巢狀,而且每個網域的 Administrators 群組都應該受到保護,如後續的逐步指示中所述。
注意:在生產中執行之前,應在非生產環境中徹底測試本文件中所述的步驟。
針對樹系中每個網域中的 Administrators 群組:
請從 Administrators 群組中移除所有成員,該網域內建的 Administrator 帳戶除外 (如已依照附錄 D︰保護 Active Directory 中的內建的 Administrator 帳戶描述,受保護的話)。
在連結至 OU 的 GPO 中 (OU 包含每個網域的成員伺服器和工作站),BA 群組應該新增至 電腦設定\原則\Windows 設定\安全性設定\本機原則\使用者權限指派 中的下列使用者權限:
拒絕從網路存取這台電腦
拒絕以批次工作登入
拒絕以服務方式登入
在樹系中每個網域的網域控制項 OU 上,應該授與 Administrators 群組下列使用者權限:
從網路存取這台電腦
允許本機登入
允許透過遠端桌面服務登入
如果對 Administrators 群組的屬性或成員資格進行任何修改,應該設定稽核以傳送警示。
從 Administrators 群組移除所有成員的逐步指示
在 [伺服器管理員] 中,依序按一下 [工具] 和 [Active Directory 使用者和電腦]。
若要從 Administrators 群組移除所有成員,請執行下列步驟:
按兩下 [Administrators] 群組,然後按一下 [成員] 索引標籤。
選取群組的成員,按一下 [移除] 和 [是],然後按一下 [確定]。
重複步驟 2,直到已移除 Administrators 群組的所有成員為止。
保護 Active Directory 中 Administrators 群組的逐步指示
在 [伺服器管理員] 按一下 [工具],然後按一下 [群組原則管理]。
在主控台樹狀目錄中,展開<樹系>\網域\<[網域]>,然後展開[群組原則物件](其中<[樹系]>是樹系的名稱,而<[網域]>是您要設定群組原則的網域名稱)。
在主控台樹狀目錄中的[群組原則物件]上按一下滑鼠右鍵,然後按一下[新增]。
在[新增 GPO]對話方塊中。輸入<GPO 名稱>,然後按一下[確定](其中GPO 名稱是此 GPO 的名稱)。
在詳細資料窗格上的<[GPO 名稱]>按一下滑鼠右鍵,然後按一下[編輯]。
導覽至 [電腦設定\原則\Windows 設定\安全性設定\本機原則],然後按一下 [使用者權限指派]。
設定使用者權限,以避免 Administrators 群組的成員透過網路存取成員伺服器和工作站,方法如下:
按兩下 [拒絕從網路存取這台電腦],然後選取 [Define these policy settings] (定義這些原則設定)。
按一下 [新增使用者或群組],並按一下 [瀏覽]。
輸入 [系統管理員],按一下 [檢查名稱] 和 [確定]。
按一下 [確定],然後再按一下 [確定]。
設定使用者權限,以避免 Administrators 群組的成員以批次工作登入,方法如下:
按兩下 [拒絕以批次工作登入],然後選取 [定義這些原則設定]。
按一下 [新增使用者或群組],並按一下 [瀏覽]。
輸入 [系統管理員],按一下 [檢查名稱] 和 [確定]。
按一下 [確定],然後再按一下 [確定]。
設定使用者權限,以避免 Administrators 群組的成員以服務方式登入,方法如下:
按兩下 [拒絕以服務方式登入],然後選取 [定義這些原則設定]。
按一下 [新增使用者或群組],並按一下 [瀏覽]。
輸入 [系統管理員],按一下 [檢查名稱] 和 [確定]。
按一下 [確定],然後再按一下 [確定]。
若要結束[群組原則管理編輯器],請按一下[檔案],然後按一下[結束]。
在[群組原則管理]中,將 GPO 連結至成員伺服器和工作站 OU,方法如下:
導覽至 [<Forest>>\網域\<Domain>] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您想要在其中設定群組原則的網域名稱)。
在要套用 GPO 的 OU 上按滑鼠右鍵,然後按一下[連結現有 GPO]。
選取您剛才建立的 GPO,然後按一下[確定]。
針對包含工作站的其他所有 OU 建立連結。
針對包含成員伺服器的其他所有 OU 建立連結。
重要
如果跳躍伺服器用來管理網域控制站和 Active Directory,請確定跳躍伺服器位於未連結此 GPO 的 OU 中。
注意
當您在 GPO 中對 Administrators 群組實作限制時,除了網域的 Administrators 群組之外,Windows 也會將設定套用至電腦本機 Administrators 群組的成員。 因此,在 Administrators 群組中實作限制時需小心謹慎。 雖然最好盡可能禁止 Administrators 群組成員的網路、批次和服務登入,但請勿限制本機登入或是透過遠端桌面服務的登入。 禁止這些登入類型可能會封鎖本機 Administrators 群組成員對於電腦的合法管理。
下列螢幕擷取畫面會顯示組態設定,這些設定除了會禁止濫用內建本機或網域 Administrator 群組之外,還會禁止濫用內建本機和網域 Administrator 帳戶。 請注意,[拒絕透過遠端桌面服務登入] 的使用者權限不包含 Administrator 群組,因為在此設定中將其包含在內也會封鎖本機電腦 Administrator 群組成員帳戶的這類登入。 如果電腦上的服務設定為在本節所述的任何特殊權限群組內容中執行,實作這些設定可能會導致服務和應用程式失敗。 因此,如同本節中的所有建議,您應該徹底測試環境中適用性的設定。
將使用者權限授與 Administrators 群組的逐步指示
在 [伺服器管理員] 按一下 [工具],然後按一下 [群組原則管理]。
在主控台樹狀目錄中,展開<樹系>\網域\<[網域]>,然後展開[群組原則物件](其中<[樹系]>是樹系的名稱,而<[網域]>是您要設定群組原則的網域名稱)。
在主控台樹狀目錄中的[群組原則物件]上按一下滑鼠右鍵,然後按一下[新增]。
在[新增 GPO]對話方塊中。輸入<GPO 名稱>,然後按一下[確定](其中<GPO 名稱>是此 GPO 的名稱)。
在詳細資料窗格上的<[GPO 名稱]>按一下滑鼠右鍵,然後按一下[編輯]。
導覽至 [電腦設定\原則\Windows 設定\安全性設定\本機原則],然後按一下 [使用者權限指派]。
設定使用者權限,以允許 Administrators 群組的成員透過網路存取網域控制站,方法如下:
按兩下 [從網路存取這台電腦],然後選取 [Define these policy settings] (定義這些原則設定)。
按一下 [新增使用者或群組],並按一下 [瀏覽]。
按一下 [新增使用者或群組],並按一下 [瀏覽]。
按一下 [確定],然後再按一下 [確定]。
設定使用者權限,以允許 Administrators 群組的成員在本機登入,方法如下:
按兩下 [允許本機登入],然後選取 [定義這些原則設定]。
按一下 [新增使用者或群組],並按一下 [瀏覽]。
輸入 [系統管理員],按一下 [檢查名稱] 和 [確定]。
按一下 [確定],然後再按一下 [確定]。
設定使用者權限,以允許 Administrators 群組的成員透過遠端桌面服務登入,方法如下:
按兩下 [允許透過遠端桌面服務登入],然後選取 [定義這些原則設定]。
按一下 [新增使用者或群組],並按一下 [瀏覽]。
輸入 [系統管理員],按一下 [檢查名稱] 和 [確定]。
按一下 [確定],然後再按一下 [確定]。
若要結束 [群組原則管理編輯器],請按一下 [檔案],然後按一下 [結束]。
在 [群組原則管理] 中,將 GPO 連結至網域控制站 OU,方法如下:
導覽至 [樹系\網域\網域] (其中 [樹系] 是樹系的名稱,而 [網域] 是您要設定群組原則的網域名稱)。<><><><>
在網域控制站 OU 上按一下滑鼠右鍵,然後按一下 [Link an existing GPO] (連結現有 GPO)。
選取您剛才建立的 GPO,然後按一下 [確定]。
驗證步驟
驗證「拒絕從網路存取這台電腦」GPO 設定
從任何不受 GPO 變更影響的成員伺服器或工作站 (例如「跳躍伺服器」),嘗試透過受 GPO 變更影響的網路,存取成員伺服器或工作站。 若要驗證 GPO 設定,請使用 NET USE 命令嘗試對應系統磁碟機。
使用 Administrators 群組成員的帳戶在本機登入。
將滑鼠指標移至畫面右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]。
在[搜尋]方塊中,輸入[命令提示],以滑鼠右鍵按一下[命令提示字元],然後按一下[以系統管理員身分執行],以開啟已提高權限的命令提示字元。
系統提示核准提高權限時,請按一下[是]。
在[命令提示字元]視窗中,輸入 net use \\<Server Name>\c$,其中 <Server Name> 是您嘗試透過網路存取的成員伺服器或工作站名稱。
下列螢幕擷取畫面會顯示應該出現的錯誤訊息。
確認「拒絕以批次工作登入」GPO 設定
透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。
建立批次檔
使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]。
在[搜尋]方塊中,輸入記事本,然後按一下[記事本]。
在[記事本]中,輸入[dir c:]。
按一下[檔案],然後按一下[另存新檔]。
在[檔案名稱]欄位中,輸入<Filename>.bat(其中<Filename>是新批次檔的名稱)。
排定工作
使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]。
在[搜尋]方塊中,輸入[工作排程器],然後按一下[工作排程器]。
注意
在執行 Windows 8 的電腦上,於[搜尋]方塊中輸入排程工作,然後按一下[排程工作]。
按一下[動作],然後按一下[建立工作]。
在[建立工作]對話方塊中,輸入工作名稱<> (其中<工作名稱>是新工作的名稱)。
按一下[動作]索引標籤,然後按一下[新增]。
在 [動作] 欄位中,選取 [啟動程式]。
在 [程式/指令碼] 欄位中,按一下 [瀏覽],找到並選取在 [建立批次檔] 區段中建立的批次檔 ,然後按一下 [開啟]。
按一下 [確定]。
按一下 [General] \(一般\) 索引標籤。
在 [安全性選項] 欄位中,按一下 [Change User or Group] (變更使用者或群組)。
輸入 Administrators 群組成員的帳戶名稱,按一下 [檢查名稱],然後按一下 [確定]。
選取 [Run whether the user is logged on or not] (不論使用者是否登入皆執行) 以及 [Do not store password] (不要儲存密碼)。 此工作只能存取本機電腦資源。
按一下 [確定]。
應該會出現對話方塊,要求取得使用者帳戶認證來執行工作。
輸入密碼之後,按一下 [確定]。
應該會出現類似下列的對話方塊。
確認「拒絕以服務方式登入」GPO 設定
透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。
使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]。
在[搜尋]方塊中,輸入服務,然後按一下[服務]。
找到[列印多工緩衝處理器]並按兩下。
按一下 [登入] 索引標籤。
在 [登入身分] 欄位中,選取 [此帳戶]。
按一下 [瀏覽],輸入 Administrators 群組成員的帳戶名稱,按一下 [檢查名稱],然後按一下 [確定]。
在 [密碼] 和 [確認密碼] 欄位中,輸入選取的帳戶密碼,然後按一下 [確定]。
再按 [確定] 三次。
在[列印多工緩衝處理器]上按一下滑鼠右鍵,然後按一下[重新啟動]。
重新啟動服務時,應該會出現類似下列的對話方塊。
將變更還原為「列印多工緩衝處理器服務」
透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。
使用滑鼠,將指標移至螢幕右上角或右下角。 當[常用鍵]列出現時,按一下[搜尋]。
在[搜尋]方塊中,輸入服務,然後按一下[服務]。
找到[列印多工緩衝處理器]並按兩下。
按一下 [登入] 索引標籤。
在 [登入身分] 欄位中,按一下 [本機系統] 帳戶,然後按一下 [確定]。