共用方式為

附錄 G︰保護 Active Directory 中的 Administrators 群組

附錄 G︰保護 Active Directory 中的 Administrators 群組

如同 Enterprise Admins (EA) 和 Domain Admins (DA) 群組的情況,內建的 Administrators (BA) 群組中的成員資格只有在組建或災害復原案例中才需要。 Administrators 群組中不應該有日常使用者帳戶,該網域內建的 Administrator 帳戶除外 (如已依照附錄 D︰保護 Active Directory 中的內建的 Administrator 帳戶描述,受保護的話)。

根據預設,系統管理員是各自網域中大部分 AD DS 物件的擁有者。 組建或災害復原案例中可能需要此群組中的成員資格,這些案例需要擁有權或取得物件擁有權的能力。 此外,DA 和 EA 會依照在 Administrators 群組中的預設成員資格,繼承一些權限。 不應修改 Active Directory 中特殊權限群組的預設群組巢狀,而且每個網域的 Administrators 群組都應該受到保護,如後續的逐步指示中所述。

!注意 本檔中所述的步驟應在非生產環境中徹底測試,再於生產環境中執行。

針對樹系中每個網域中的 Administrators 群組:

  1. 請從 Administrators 群組中移除所有成員,該網域內建的 Administrator 帳戶除外 (如已依照附錄 D︰保護 Active Directory 中的內建的 Administrator 帳戶描述,受保護的話)。

  2. 在連結至 OU 的 GPO 中 (OU 包含每個網域的成員伺服器和工作站),BA 群組應該新增至 電腦設定\原則\Windows 設定\安全性設定\本機原則\使用者權限指派 中的下列使用者權限:

    • 拒絕從網路存取這台電腦

    • 拒絕以批次工作登入

    • 拒絕以服務方式登入

  3. 在樹系中每個網域的網域控制項 OU 上,應該授與 Administrators 群組下列使用者權限:

    • 從網路存取這台電腦

    • 允許本機登入

    • 允許透過遠端桌面服務登入

  4. 如果對 Administrators 群組的屬性或成員資格進行任何修改,應該設定稽核以傳送警示。

從 Administrators 群組移除所有成員的逐步指示

  1. 伺服器管理員中,按一下 [工具],然後按一下 [Active Directory 使用者和電腦]。

  2. 若要從 Administrators 群組移除所有成員,請執行下列步驟:

    1. 按兩下 [管理員] 群組,然後按一下 [成員] 索引標籤。

      顯示 [成員] 索引標籤的螢幕快照,用於從系統管理員群組移除所有成員。

    2. 選取群組的成員,按一下移除,按一下,然後按一下確定。

  3. 重複步驟 2,直到已移除 Administrators 群組的所有成員為止。

保護 Active Directory 中 Administrators 群組的逐步指示

  1. 伺服器管理員中,按一下 [工具],然後按一下 [群組原則管理]。

  2. 在主控台樹狀目錄中,展開<樹系>\網域\<[網域]>,然後展開[群組原則物件](其中<[樹系]>是樹系的名稱,而<[網域]>是您要設定群組原則的網域名稱)。

  3. 在主控台樹狀目錄中的[群組原則物件]上按一下滑鼠右鍵,然後按一下[新增]

    此螢幕快照顯示選取 [新增] 的位置,讓您可以在Active Directory 中保護系統管理員群組。

  4. 在 [ 新增 GPO ] 對話方塊中,輸入 <[GPO 名稱>],然後按一下 [ 確定 ] (其中 [GPO 名稱 ] 是此 GPO 的名稱)。

    此螢幕快照顯示在 [新增 GPO] 對話框中命名 G P O 的位置,讓您可以保護系統管理員群組。

  5. 在詳細資料窗格上的<[GPO 名稱]>按一下滑鼠右鍵,然後按一下[編輯]

  6. 導覽至[電腦設定\原則\Windows 設定\安全性設定\本機原則],然後按一下[使用者權限指派]

    顯示流覽位置的螢幕快照,讓您可以選取 [使用者權力系統管理員] 選項來保護系統管理員群組。

  7. 設定使用者權限,以避免 Administrators 群組的成員透過網路存取成員伺服器和工作站,方法如下:

    1. 按兩下 [拒絕從網路存取這台電腦],然後選取 [Define these policy settings] (定義這些原則設定)。

    2. 按一下 [新增使用者或群組],並按一下 [瀏覽]。

    3. 鍵入 Administrators,按一下 Check Names,然後按一下 OK。

      此螢幕快照顯示如何確認您已設定用戶權力,以防止系統管理員群組的成員透過網路存取成員伺服器和工作站。

    4. 按一下 確定,然後再次按一下 確定

  8. 設定使用者權限,以避免 Administrators 群組的成員以批次工作登入,方法如下:

    1. 按兩下 [拒絕以批次工作登入],然後選取 [定義這些原則設定]

    2. 按一下 [新增使用者或群組],並按一下 [瀏覽]。

    3. 鍵入 Administrators,按一下 Check Names,然後按一下 OK。

      此螢幕快照顯示如何確認您已設定用戶權力,以防止 Administrators 群組的成員以批次作業身分登入。

    4. 按一下 確定,然後再次按一下 確定

  9. 設定使用者權限,以避免 Administrators 群組的成員以服務方式登入,方法如下:

    1. 按兩下 [拒絕以服務方式登入],然後選取 [定義這些原則設定]

    2. 按一下 [新增使用者或群組],並按一下 [瀏覽]。

    3. 鍵入 Administrators,按一下 Check Names,然後按一下 OK。

      此螢幕快照顯示如何確認您已設定用戶權力,以防止 Administrators 群組的成員以服務身分登入。

    4. 按一下 確定,然後再次按一下 確定

  10. 若要結束[群組原則管理編輯器],請按一下[檔案],然後按一下[結束]

  11. [群組原則管理]中,將 GPO 連結至成員伺服器和工作站 OU,方法如下:

    1. 導覽至 [<Forest>>\網域\<Domain>] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您想要在其中設定群組原則的網域名稱)。

    2. 在要套用 GPO 的 OU 上按滑鼠右鍵,然後按一下[連結現有 GPO]

      顯示當您以滑鼠右鍵按下 OU 時,鏈接現有 G P O 功能表選項的螢幕快照。

    3. 選取您剛建立的 GPO,然後按一下 [確定]。

      顯示您剛才建立之 GPO 位置的螢幕快照。

    4. 針對包含工作站的其他所有 OU 建立連結。

    5. 針對包含成員伺服器的其他所有 OU 建立連結。

      Important

      如果跳躍伺服器用來管理網域控制站和 Active Directory,請確定跳躍伺服器位於未連結此 GPO 的 OU 中。

      Note

      當您在 GPO 中對 Administrators 群組實作限制時,除了網域的 Administrators 群組之外,Windows 也會將設定套用至電腦本機 Administrators 群組的成員。 因此,在 Administrators 群組中實作限制時需小心謹慎。 雖然最好盡可能禁止 Administrators 群組成員的網路、批次和服務登入,但請勿限制本機登入或是透過遠端桌面服務的登入。 禁止這些登入類型可能會封鎖本機 Administrators 群組成員對於電腦的合法管理。

      下列螢幕擷取畫面會顯示組態設定,這些設定除了會禁止濫用內建本機或網域 Administrator 群組之外,還會禁止濫用內建本機和網域 Administrator 帳戶。 請注意,[拒絕透過遠端桌面服務登入] 的使用者權限不包含 Administrator 群組,因為在此設定中將其包含在內也會封鎖本機電腦 Administrator 群組成員帳戶的這類登入。 如果電腦上的服務設定為在本節所述的任何特殊權限群組內容中執行,實作這些設定可能會導致服務和應用程式失敗。 因此,如同本節中的所有建議,您應該徹底測試環境中適用性的設定。

      顯示封鎖濫用內建本機和網域系統管理員帳戶之組態設定的螢幕快照。

將使用者權限授與 Administrators 群組的逐步指示

  1. 伺服器管理員中,按一下 [工具],然後按一下 [群組原則管理]。

  2. 在主控台樹狀目錄中,展開<樹系>\網域\<[網域]>,然後展開[群組原則物件](其中<[樹系]>是樹系的名稱,而<[網域]>是您要設定群組原則的網域名稱)。

  3. 在主控台樹狀目錄中的[群組原則物件]上按一下滑鼠右鍵,然後按一下[新增]

    顯示當您以滑鼠右鍵按下 [組策略物件] 時所顯示選單的螢幕快照。

  4. 在 [ 新增 GPO ] 對話方塊中,輸入 <[GPO 名稱>],然後按一下 [ 確定 ] (其中 <[GPO 名稱> ] 是此 GPO 的名稱)。

    此螢幕快照顯示要命名 G P O 的位置,讓您可以保護系統管理員群組。

  5. 在詳細資料窗格上的<[GPO 名稱]>按一下滑鼠右鍵,然後按一下[編輯]

  6. 導覽至[電腦設定\原則\Windows 設定\安全性設定\本機原則],然後按一下[使用者權限指派]

    顯示巡覽位置的螢幕快照,讓您可以選取 [用戶權力管理員] 來保護系統管理員群組。

  7. 設定使用者權限,以允許 Administrators 群組的成員透過網路存取網域控制站,方法如下:

    1. 按兩下 [從網路存取這台電腦],然後選取 [Define these policy settings] (定義這些原則設定)。

    2. 按一下 [新增使用者或群組],並按一下 [瀏覽]。

    3. 按一下 [新增使用者或群組],並按一下 [瀏覽]。

      顯示如何確認您已設定用戶權力以允許Administrators群組成員透過網路存取域控制器的螢幕快照。

    4. 按一下 確定,然後再次按一下 確定

  8. 設定使用者權限,以允許 Administrators 群組的成員在本機登入,方法如下:

    1. 按兩下 [允許本機登入],然後選取 [定義這些原則設定]

    2. 按一下 [新增使用者或群組],並按一下 [瀏覽]。

    3. 鍵入 Administrators,按一下 Check Names,然後按一下 OK。

      顯示如何確認您已設定用戶權力以允許Administrators群組成員在本機登入的螢幕快照。

    4. 按一下 確定,然後再次按一下 確定

  9. 設定使用者權限,以允許 Administrators 群組的成員透過遠端桌面服務登入,方法如下:

    1. 按兩下 [允許透過遠端桌面服務登入],然後選取 [定義這些原則設定]。

    2. 按一下 [新增使用者或群組],並按一下 [瀏覽]。

    3. 鍵入 Administrators,按一下 Check Names,然後按一下 OK。

      顯示如何確認您已設定用戶權力以允許Administrators群組成員透過遠端桌面服務登入的螢幕快照。

    4. 按一下 確定,然後再次按一下 確定

  10. 若要結束[群組原則管理編輯器],請按一下[檔案],然後按一下[結束]

  11. 在 [群組原則管理] 中,將 GPO 連結至網域控制站 OU,方法如下:

    1. 導覽至 [<Forest>\網域\<Domain>] (其中 <Forest> 是樹系的名稱,而 <Domain> 是您想要在其中設定群組原則的網域名稱)。

    2. 在網域控制站 OU 上按一下滑鼠右鍵,然後按一下 [Link an existing GPO] (連結現有 GPO)。

      當您嘗試將 G P O 連結到域控制器 OU 時,顯示 [鏈接現有的 GPO] 選單選項的螢幕快照。

    3. 選取您剛建立的 GPO,然後按一下 [確定]。

      顯示您在將 G P O 連結至成員工作站和伺服器時所建立之 GPO 的位置螢幕快照。

驗證步驟

驗證「拒絕從網路存取這台電腦」GPO 設定

從任何不受 GPO 變更影響的成員伺服器或工作站 (例如「跳躍伺服器」),嘗試透過受 GPO 變更影響的網路,存取成員伺服器或工作站。 若要確認 GPO 設定,請嘗試使用 NET USE 命令對應系統磁碟驅動器。

  1. 使用 Administrators 群組成員的帳戶在本機登入。

  2. 將滑鼠指標移至畫面右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。

  3. 在 [ 搜尋 ] 方塊中,輸入 命令提示字元,以滑鼠右鍵按一下 [命令提示字元],然後按一下 [以系統管理員身分執行] 以開啟提高許可權的命令提示字元。

  4. 當系統提示您核准提高許可權時,按兩下 [ ]。

    醒目提示 [用戶帳戶控制] 對話框的螢幕快照。

  5. [命令提示字元 ] 視窗中,輸入 net use \\<Server Name>\c$,其中 <Server Name> 是您嘗試透過網路存取的成員伺服器或工作站名稱。

  6. 下列螢幕擷取畫面會顯示應該出現的錯誤訊息。

    醒目提示登入失敗錯誤訊息的螢幕快照。

確認「拒絕以批次工作登入」GPO 設定

透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

建立批次檔

  1. 將滑鼠指標移至畫面右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。

  2. [搜尋 ] 方塊中,輸入 記事本,然後按一下 [ 記事本]。

  3. 記事本中,鍵入 dir c:

  4. 按一下檔案,然後按一下另存新檔。

  5. [檔案名稱 ] 欄位中,輸入 <Filename>.bat (其中 <Filename> 是新批次檔案的名稱)。

排定工作

  1. 將滑鼠指標移至畫面右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。

  2. 在 [ 搜尋 ] 方塊中,輸入 工作排程器,然後按一下 [工作排程器]。

    Note

    在執行 Windows 8 的電腦上,於[搜尋]方塊中輸入排程工作,然後按一下[排程工作]。

  3. 按一下 動作,然後按一下 建立任務

  4. 在 [ 建立工作 ] 對話方塊中,輸入 <[工作名稱> ] (其中 <[工作名稱> ] 是新工作的名稱)。

  5. 按一下 動作 索引標籤,然後按一下 新增

  6. 動作 欄位中,選取 啟動方案

  7. 程式/指令碼 欄位中,按一下 瀏覽,找出並選取在 建立批次檔案 區段中建立的批次檔,然後按一下 開啟

  8. 按一下 [確定]

  9. 按一下 一般 索引標籤。

  10. 「安全性選項 」欄位中,按一下 「變更使用者或群組」。

  11. 輸入屬於 Administrators 群組成員的帳戶名稱,按一下 [ 檢查名稱],然後按一下 [確定]。

  12. 選取 [Run whether the user is logged on or not] (不論使用者是否登入皆執行) 以及 [Do not store password] (不要儲存密碼)。 此工作只能存取本機電腦資源。

  13. 按一下 [確定]

  14. 應該會出現對話方塊,要求取得使用者帳戶認證來執行工作。

  15. 輸入密碼後,按一下 確定

  16. 應該會出現類似下列的對話方塊。

    醒目提示 [工作排程器] 對話框的螢幕快照。

確認「拒絕以服務方式登入」GPO 設定

  1. 透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 將滑鼠指標移至畫面右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。

  3. [搜尋 ] 方塊中,輸入 services,然後按一下 [服務]。

  4. 找出並按兩下 [列印多任務緩衝處理程式]。

  5. 按一下 登入 索引標籤。

  6. 在 [登入身分] 欄位中,選取 [此帳戶]。

  7. 按一下 [瀏覽],輸入屬於 [管理員] 群組成員的帳戶名稱,按一下 [ 檢查名稱],然後按一下 [確定]。

  8. [密碼 ] 和 [確認密碼 ] 欄位中,輸入所選帳戶的密碼,然後按一下 [確定]。

  9. 再按一下「 確定 」三次。

  10. 以滑鼠右鍵按一下 [列印多任務緩衝處理程式 ],然後按一下 [ 重新啟動]。

  11. 重新啟動服務時,應該會出現類似下列的對話方塊。

    安全系統管理員群組

將變更還原為「列印多工緩衝處理器服務」

  1. 透過受 GPO 變更影響的任何成員伺服器或工作站,在本機登入。

  2. 將滑鼠指標移至畫面右上角或右下角。 當「超級鍵」列出現時,按一下「搜尋」。

  3. [搜尋 ] 方塊中,輸入 services,然後按一下 [服務]。

  4. 找出並按兩下 [列印多任務緩衝處理程式]。

  5. 按一下 登入 索引標籤。

  6. 在 [登入身分] 欄位中,按一下 [本機系統] 帳戶,然後按一下 [確定]。

  • Last updated on