附錄 E︰保護 Active Directory 中的 Enterprise Admins 群組
位於樹系根網域內的 Enterprise Admins (EA) 群組每一天都不應該包含任何使用者,但根域系統管理員帳戶例外,前提是其受到保護,如附錄 D:保護 Active Directory 中的內建系統管理員帳戶中所述。
根據預設,Enterprise Admins 是樹系中每個網域的 Administrator 群組的成員。 您不應該從每個網域的 Administrator 群組中移除 EA 群組,因為在發生樹系災害復原案例時,可能需要 EA 權限。 樹系的 Enterprise Admins 群組都應該受到保護,如後續的逐步指示中所述。
針對樹系中 Enterprise Admins 群組的成員:
在連結至 OU 的 GPO 中 (OU 包含每個網域的成員伺服器和工作站),Enterprise Admins 群組應該新增至[電腦設定\原則\Windows 設定\安全性設定\本機原則\使用者權限指派]中的下列使用者權限:
拒絕從網路存取這台電腦
拒絕以批次工作登入
拒絕以服務方式登入
拒絕本機登入
拒絕透過遠端桌面服務登入
如果對 Enterprise Admins 群組的屬性或成員資格進行了任何修改,請設定稽核以傳送警示。
從 Enterprise Admins 群組移除所有成員的逐步指示
在 伺服器管理員中,按一下 [工具],然後按一下 [Active Directory 使用者和電腦]。
如果您未管理樹系的根網域,請在主控台樹狀結構中,以滑鼠右鍵按一下 <[網域]>,然後按一下 [變更網域] (其中 <[網域]> 是您目前管理的網域名稱)。
![醒目提示 [變更網域] 功能表選項的螢幕快照。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_43.gif)
在 [ 變更網域 ] 對話方塊中,按一下 [ 瀏覽 ],選取樹系的根網域,然後按一下 [ 確定]。
![顯示 [變更網域] 對話框中 [確定] 按鈕的螢幕快照。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_44.gif)
若要從 EA 群組中移除所有成員:
按兩下 Enterprise Admins 群組,然後按一下 [成員] 索引標籤。
![顯示 [企業系統管理員] 群組內 [成員] 索引標籤的螢幕快照。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_45.gif)
選取群組的成員,按一下移除,按一下是,然後按一下確定。
重複步驟 2,直到 DA 群組的所有成員均已移除為止。
保護 Active Directory 中 Enterprise Admins 群組的逐步指示
在 伺服器管理員中,按一下 [工具],然後按一下 [群組原則管理]。
在主控台樹狀目錄中,展開 <Forest>\網域\<Domain>,然後展開[群組原則物件] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您要設定群組原則的網域名稱)。
Note
在包含多個網域的樹系中,應該在每個需要保護 Enterprise Admins 群組的網域中建立類似的 GPO。
在主控台樹狀目錄中的[群組原則物件]上按一下滑鼠右鍵,然後按一下[新增]。
![顯示 [組策略物件] 功能表中 [新增] 功能表選項的螢幕快照。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_46.gif)
在 [ 新增 GPO ] 對話方塊中,輸入 <[GPO 名稱>],然後按一下 [ 確定 ] (其中 <[GPO 名稱> ] 是此 GPO 的名稱)。
在詳細資料窗格中,以滑鼠右鍵按一下 <[GPO 名稱>],然後按一下 [編輯]。
導覽至[電腦設定\原則\Windows 設定\安全性設定\本機原則],然後按一下[使用者權限指派]。
![顯示選取 [用戶權力指派] 位置的螢幕快照。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_48.gif)
設定使用者權限,以避免 Enterprise Admins 群組的成員透過網路存取成員伺服器和工作站,方法如下:
按兩下[拒絕從網路存取這台電腦],然後選取[定義這些原則設定]。
按一下[新增使用者或群組],然後按一下[瀏覽]。
輸入 Enterprise Admins,按一下 Check Names,然後按一下 OK。
按一下 確定,然後再次按一下 確定 。
設定使用者權限,以避免 Enterprise Admins 群組的成員以批次工作方式登入,方法如下:
按兩下[拒絕以批次工作方式登入],然後選取[定義這些原則設定]。
按一下[新增使用者或群組],然後按一下[瀏覽]。
Note
在包含多個網域的樹系中,按一下 [位置] ,然後選取樹系的根網域。
輸入 Enterprise Admins,按一下 Check Names,然後按一下 OK。
按一下 確定,然後再次按一下 確定 。
設定使用者權限,以避免 EA 群組的成員以服務方式登入,方法如下:
按兩下[拒絕以服務方式登入],然後選取[定義這些原則設定]。
按一下[新增使用者或群組],然後按一下[瀏覽]。
Note
在包含多個網域的樹系中,按一下 [位置] ,然後選取樹系的根網域。
輸入 Enterprise Admins,按一下 Check Names,然後按一下 OK。
按一下 確定,然後再次按一下 確定 。
設定使用者權限,以避免 Enterprise Admins 群組的成員在本機登入成員伺服器和工作站,方法如下:
按兩下[拒絕本機登入],然後選取[定義這些原則設定]。
按一下[新增使用者或群組],然後按一下[瀏覽]。
Note
在包含多個網域的樹系中,按一下 [位置] ,然後選取樹系的根網域。
輸入 Enterprise Admins,按一下 Check Names,然後按一下 OK。
按一下 確定,然後再次按一下 確定 。
設定使用者權限,以防止 Enterprise Admins 群組成員透過遠端桌面服務來存取成員伺服器和工作站,方法如下:
按兩下[允許透過遠端桌面服務登入],然後選取[定義這些原則設定]。
按一下[新增使用者或群組],然後按一下[瀏覽]。
Note
在包含多個網域的樹系中,按一下 [位置] ,然後選取樹系的根網域。
輸入 Enterprise Admins,按一下 Check Names,然後按一下 OK。
按一下 確定,然後再次按一下 確定 。
若要結束[群組原則管理編輯器],請按一下[檔案],然後按一下[結束]。
在[群組原則管理]中,將 GPO 連結至成員伺服器和工作站 OU,方法如下:
導覽至 [<Forest>\網域\<Domain>] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您想要在其中設定群組原則的網域名稱)。
在要套用 GPO 的 OU 上按滑鼠右鍵,然後按一下[連結現有 GPO]。
![醒目提示 [鏈接現有 GPO] 選單選項的螢幕快照。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_54.gif)
選取您剛建立的 GPO,然後按一下 [確定]。
針對包含工作站的其他所有 OU 建立連結。
針對包含成員伺服器的其他所有 OU 建立連結。
在包含多個網域的樹系中,應該在每個需要保護 Enterprise Admins 群組的網域中建立類似的 GPO。
Important
如果使用跳躍伺服器來管理網域控制站和 Active Directory,請確認跳躍伺服器位於未連結此 GPO 的 OU 中。
驗證步驟
驗證「拒絕從網路存取這台電腦」GPO 設定
從任何不受 GPO 變更影響的成員伺服器或工作站 (例如「跳躍伺服器」),嘗試透過受 GPO 變更影響的網路,存取成員伺服器或工作站。 若要驗證 GPO 設定,請執行下列步驟,嘗試使用 NET USE 命令對應系統磁碟驅動器:
使用 EA 群組成員的帳戶在本機登入。
使用滑鼠,將指標移至螢幕右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。
在 [ 搜尋 ] 方塊中,輸入 命令提示字元,以滑鼠右鍵按一下 [命令提示字元],然後按一下 [以系統管理員身分執行] 以開啟提高許可權的命令提示字元。
當系統提示您核准高程時,按一下「是」。
在 [命令提示字元 ] 視窗中,輸入 net use \\<Server Name>\c$,其中 <Server Name> 是您嘗試透過網路存取的成員伺服器或工作站名稱。
下列螢幕擷取畫面會顯示應該出現的錯誤訊息。
確認「拒絕以批次工作登入」GPO 設定
透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。
建立批次檔
使用滑鼠,將指標移至螢幕右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。
在 [搜尋 ] 方塊中,輸入 記事本,然後按一下 [ 記事本]。
在 記事本中,鍵入 dir c:。
按一下檔案,然後按一下另存新檔。
在 [ 檔案 名稱] 方塊中,輸入 <[檔案名稱>.bat ] (其中 <[檔案名稱> ] 是新批次檔案的名稱)。
排定工作
使用滑鼠,將指標移至螢幕右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。
在 [ 搜尋 ] 方塊中,輸入 工作排程器,然後按一下 [工作排程器]。
Note
在執行 Windows 8 的電腦上,在 [ 搜尋 ] 方塊中輸入 [排程工作],然後按一下 [排程工作]。
按一下 動作,然後按一下 建立任務。
在 [ 建立工作 ] 對話方塊中,輸入 <[工作名稱> ] (其中 <[工作名稱> ] 是新工作的名稱)。
按一下 動作 索引標籤,然後按一下 新增。
在 動作 欄位中,選取 啟動方案。
在 程式/指令碼 下,按一下 瀏覽,找出並選取在 建立批次檔案 區段中建立的批次檔案,然後按一下 開啟。
按一下 [確定]。
按一下 一般 索引標籤。
在 「安全性選項 」欄位中,按一下 「變更使用者或群組」。
輸入屬於 EA 群組成員的帳戶名稱,按一下 檢查名稱,然後按一下 確定。
選取[不論使用者是否登入皆執行]以及[不要儲存密碼]。 該工作只能存取本機電腦資源。
按一下 [確定]。
應該會出現對話方塊,要求取得使用者帳戶認證來執行工作。
輸入認證後 ,按一下確定。
應該會出現類似下列的對話方塊。
![顯示 [工作排程器] 對話框的螢幕快照。](media/appendix-e--securing-enterprise-admins-groups-in-active-directory/sad_58.gif)
確認「拒絕以服務方式登入」GPO 設定
透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。
使用滑鼠,將指標移至螢幕右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。
在 [搜尋 ] 方塊中,輸入 services,然後按一下 [服務]。
找出並按兩下 [列印多任務緩衝處理程式]。
按一下 登入 索引標籤。
在[登入身分:]下方,選取[此帳戶]。
按一下 [瀏覽],輸入屬於 EA 群組成員的帳戶名稱,按一下 [檢查名稱],然後按一下 [確定]。
在 [密碼: ] 和 [確認密碼] 底下,輸入所選帳戶的密碼,然後按一下 [確定]。
再按一下「 確定 」三次。
以滑鼠右鍵按一下 [列印多任務緩衝處理程式 ] 服務,然後選取 [ 重新啟動]。
重新啟動服務時,應該會出現類似下列的對話方塊。
將變更還原為「列印多工緩衝處理器服務」
透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。
使用滑鼠,將指標移至螢幕右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。
在 [搜尋 ] 方塊中,輸入 services,然後按一下 [服務]。
找出並按兩下 [列印多任務緩衝處理程式]。
按一下 登入 索引標籤。
在[登入身分]中,選擇[本機系統]帳戶,然後按一下[確定]。
確認 [拒絕在本機登入] GPO 設定
從受 GPO 變更影響的任何成員伺服器或工作站,嘗試使用屬於 EA 群組成員的帳戶在本機登入。 應該會出現類似下列的對話方塊。
確認「拒絕透過遠端桌面服務登入」GPO 設定
使用滑鼠,將指標移至螢幕右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。
在 [ 搜尋 ] 方塊中,輸入 遠端桌面連線,然後按一下 [遠端桌面連線]。
在 [電腦] 欄位中,輸入您要連線的電腦名稱,然後按一下 [連線]。 (您也可以不輸入電腦名稱而改為輸入 IP 位址。)
出現提示時,請提供屬於 EA 群組成員之帳戶的認證。
應該會出現類似下列的對話方塊。
