Поделиться через

Приложение Д. Защита групп корпоративных администраторов в Active Directory

Приложение Д. Защита групп корпоративных администраторов в Active Directory

Группа администраторов предприятия (EA), размещенная в корневом домене леса, не должна содержать пользователей на ежедневной основе, за исключением учетной записи администратора корневого домена, если она защищена, как описано в приложении D. Защита встроенных учетных записей администраторов в Active Directory.

Администраторы предприятия по умолчанию являются членами группы "Администраторы" в каждом домене в лесу. Не следует удалять группу EA из групп администраторов в каждом домене, так как в случае сценария аварийного восстановления леса права EA, скорее всего, потребуются. Группа администраторов предприятия леса должна быть защищена, как описано в пошаговые инструкции, приведенные ниже.

Для группы администраторов предприятия в лесу:

  1. В объектах групповой политики, связанных с подразделениями, содержащими серверы-члены и рабочие станции в каждом домене, группа администраторов предприятия должна быть добавлена в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначения прав пользователей".

    • Отказ в доступе к компьютеру из сети

    • Отказ во входе в качестве пакетного задания

    • Отказать во входе в качестве службы

    • Запретить локальный вход

    • Запретить вход в систему через службу удаленных рабочих столов

  2. Настройте аудит для отправки оповещений, если какие-либо изменения вносятся в свойства или членство в группе администраторов предприятия.

Пошаговые инструкции по удалению всех участников из группы администраторов предприятия

  1. В диспетчер сервера щелкните "Сервис" и щелкните Пользователи и компьютеры Active Directory.

  2. Если вы не управляете корневым доменом для леса, в дереве консоли щелкните правой кнопкой мыши <домен> и выберите пункт "Изменить домен " (где <домен> — имя домена, который вы сейчас администрируете).

    Снимок экрана: пункт меню

  3. В диалоговом окне "Изменение домена" нажмите кнопку "Обзор", выберите корневой домен для леса и нажмите кнопку "ОК".

    Снимок экрана: кнопка

  4. Чтобы удалить всех участников из группы EA, выполните следующие действия.

    1. Дважды щелкните группу "Администраторы предприятия" и перейдите на вкладку "Участники ".

      Снимок экрана: вкладка

    2. Выберите члена группы, нажмите кнопку "Удалить", нажмите кнопку "Да" и нажмите кнопку "ОК".

  5. Повторите шаг 2, пока все члены группы EA не будут удалены.

Пошаговые инструкции по защите администраторов предприятия в Active Directory

  1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление групповыми политиками".

  2. В дереве консоли разверните <лес>\Domain\Domain\<Domain>, а затем объекты групповой политики (где <лес> является именем леса и <доменом> — это имя домена, в котором нужно задать групповую политику).

    Примечание.

    В лесу с несколькими доменами необходимо создать аналогичный объект групповой политики в каждом домене, требующий защиты группы администраторов предприятия.

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики и нажмите кнопку "Создать".

    Снимок экрана: пункт

  4. В диалоговом окне "Создать объект групповой политики" введите <имя> групповой политики и нажмите кнопку "ОК" (где <имя> групповой политики — имя объекта групповой политики).

    Снимок экрана, на котором показано, где ввести имя групповой политики и выбрать начальный объект групповой политики источника.

  5. В области сведений щелкните правой кнопкой мыши <имя> групповой политики и нажмите кнопку "Изменить".

  6. Перейдите к разделу "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики" и щелкните "Назначение прав пользователя".

    Снимок экрана, на котором показано, где выбрать назначение прав пользователя.

  7. Настройте права пользователя, чтобы запретить членам группы "Администраторы предприятия" доступ к серверам-членам и рабочим станциям в сети, выполнив следующие действия:

    1. Дважды щелкните "Запретить доступ к этому компьютеру" из сети и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите корпоративные администраторы, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы запретить членам группы администраторов предприятия получать доступ к серверам-членам и рабочим станциям по сети.

    4. Нажмите кнопку "ОК" и "ОК".

  8. Настройте права пользователя, чтобы запретить вход членам группы "Администраторы предприятия" в качестве пакетного задания, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход в качестве пакетного задания " и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

      Примечание.

      В лесу с несколькими доменами щелкните "Расположения " и выберите корневой домен леса.

    3. Введите корпоративные администраторы, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы предотвратить вход членов группы администраторов предприятия в качестве пакетного задания.

    4. Нажмите кнопку "ОК" и "ОК".

  9. Настройте права пользователя, чтобы запретить вход членам группы EA в качестве службы, выполнив следующие действия:

    1. Дважды щелкните "Запретить журнал как услуга " и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа ", а затем нажмите кнопку "Обзор".

      Примечание.

      В лесу с несколькими доменами щелкните "Расположения " и выберите корневой домен леса.

    3. Введите корпоративные администраторы, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы предотвратить вход членов группы EA в качестве службы.

    4. Нажмите кнопку "ОК" и "ОК".

  10. Настройте права пользователя, чтобы запретить пользователям группы "Администраторы предприятия" входить на локальные серверы-члены и рабочие станции, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход" локально и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа ", а затем нажмите кнопку "Обзор".

      Примечание.

      В лесу с несколькими доменами щелкните "Расположения " и выберите корневой домен леса.

    3. Введите корпоративные администраторы, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя для предотвращения локального входа членов группы администраторов предприятия на серверы-члены и рабочие станции.

    4. Нажмите кнопку "ОК" и "ОК".

  11. Настройте права пользователя, чтобы запретить членам группы администраторов предприятия доступ к серверам-членам и рабочим станциям через службы удаленных рабочих столов, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход" через службы удаленных рабочих столов и выберите "Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа ", а затем нажмите кнопку "Обзор".

      Примечание.

      В лесу с несколькими доменами щелкните "Расположения " и выберите корневой домен леса.

    3. Введите корпоративные администраторы, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы запретить членам группы администраторов предприятия доступ к серверам-членам и рабочим станциям через службы удаленных рабочих столов.

    4. Нажмите кнопку "ОК" и "ОК".

  12. Чтобы выйти из редактора управления групповыми политиками, нажмите кнопку "Файл" и нажмите кнопку " Выйти".

  13. В службе управления групповыми политиками свяжите объект групповой политики с сервером-членом и подразделениями рабочих станций, выполнив следующие действия.

    1. Перейдите к <лесу>\Domain\<Domain> (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется задать групповую политику).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применен объект групповой политики, и щелкните ссылку на существующий объект групповой политики.

      Снимок экрана, на котором выделен параметр меню

    3. Выберите только что созданный объект групповой политики и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, где выбрать только что созданный объект групповой политики.

    4. Создайте ссылки на все остальные подразделения, содержащие рабочие станции.

    5. Создайте ссылки на все остальные подразделения, содержащие серверы-члены.

    6. В лесу с несколькими доменами необходимо создать аналогичный объект групповой политики в каждом домене, требующий защиты группы администраторов предприятия.

Внимание

Если серверы переходов используются для администрирования контроллеров домена и Active Directory, убедитесь, что серверы переходов находятся в подразделении, к которому эти объекты групповой политики не связаны.

Этапы проверки

Проверка параметров групповой политики "Запрет доступа к этому компьютеру из сети"

С любого сервера-члена или рабочей станции, не затронутых изменениями объекта групповой политики (например, с помощью сервера перехода), попытайтесь получить доступ к серверу-члену или рабочей станции через сеть, затронутую изменениями групповой политики. Чтобы проверить параметры групповой политики, попытайтесь сопоставить системный диск с помощью команды NET USE , выполнив следующие действия:

  1. Войдите локально с помощью учетной записи, являющейся членом группы EA.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите командную строку правой кнопкой мыши и нажмите кнопку "Запустить от имени администратора", чтобы открыть командную строку с повышенными привилегиями.

  4. Когда появится запрос на утверждение повышения прав, нажмите кнопку "Да".

    Снимок экрана: диалоговое окно, в котором вы утверждаете повышение прав.

  5. В окне командной строки введите net use \\<Server Name>\c$, где <имя> сервера — имя сервера-члена или рабочей станции, к которой вы пытаетесь получить доступ по сети.

  6. На следующем снимка экрана показано сообщение об ошибке, которое должно появиться.

    Снимок экрана: сообщение об ошибке, которое должно появиться.

Проверка параметров групповой политики "Запрет входа в качестве пакетного задания"

На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

Создание пакетного файла

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите блокнот и нажмите кнопку "Блокнот".

  3. В Блокноте введите dir c:.

  4. Нажмите кнопку " Файл" и нажмите кнопку "Сохранить как".

  5. В поле "Имя файла" введите <имя файла>.bat (где <имя> файла — имя нового пакетного файла).

Планирование задачи

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите планировщик задач и нажмите кнопку "Планировщик задач".

    Примечание.

    На компьютерах под управлением Windows 8 в поле поиска введите задачи расписания и щелкните "Расписание задач".

  3. Нажмите кнопку " Действие" и нажмите кнопку "Создать задачу".

  4. В диалоговом окне "Создание задачи" введите< имя> задачи (где <имя> задачи — имя новой задачи).

  5. Перейдите на вкладку "Действия " и нажмите кнопку "Создать".

  6. В поле "Действие" выберите "Запустить программу".

  7. В разделе "Программа или сценарий" нажмите кнопку "Обзор", найдите и выберите пакетный файл, созданный в разделе "Создать пакетный файл " и нажмите кнопку "Открыть".

  8. Щелкните OK.

  9. Перейдите на вкладку Общие.

  10. В поле "Параметры безопасности" нажмите кнопку "Изменить пользователя" или "Группа".

  11. Введите имя учетной записи, являющейся членом группы EAs, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

  12. Выберите "Запустить", вошедший в систему или нет , и выберите " Не хранить пароль". Задача будет иметь доступ только к ресурсам локального компьютера.

  13. Щелкните OK.

  14. Появится диалоговое окно, запрашивающее учетные данные учетной записи пользователя для выполнения задачи.

  15. После ввода учетных данных нажмите кнопку "ОК".

  16. Появится диалоговое окно, аналогичное приведенному ниже.

    Снимок экрана: диалоговое окно планировщика задач.

Проверка параметров групповой политики "Запрет входа в систему как услуга"

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите службы и щелкните "Службы".

  4. Найдите и дважды щелкните "Печатать spooler".

  5. Откройте вкладку Вход.

  6. В разделе "Вход как" выберите "Эта учетная запись".

  7. Нажмите кнопку "Обзор", введите имя учетной записи, являющейся членом группы EAs, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

  8. В разделе "Пароль" и "Подтверждение пароля" введите пароль выбранной учетной записи и нажмите кнопку "ОК".

  9. Нажмите кнопку "ОК " еще три раза.

  10. Щелкните правой кнопкой мыши службу "Печатать spooler" и выберите "Перезапустить".

  11. При перезапуске службы появится диалоговое окно, аналогичное приведенному ниже.

    Снимок экрана: сообщение о том, что Windows не удалось запустить сервер spooler для печати.

Восстановление изменений в службе spooler принтера

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите службы и щелкните "Службы".

  4. Найдите и дважды щелкните "Печатать spooler".

  5. Откройте вкладку Вход.

  6. В разделе "Вход как" выберите учетную запись локальной системы и нажмите кнопку "ОК".

Проверка параметров групповой политики "Запрет входа в локальном режиме"

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, попытайтесь выполнить вход локально с помощью учетной записи, являющейся членом группы EA. Появится диалоговое окно, аналогичное приведенному ниже.

    Снимок экрана: сообщение о том, что метод входа, который вы используете, не разрешен.

Проверка параметров групповой политики "Запрет входа в систему через службы удаленных рабочих столов"

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите подключение к удаленному рабочему столу и нажмите кнопку "Подключение к удаленному рабочему столу".

  3. В поле "Компьютер" введите имя компьютера, к которому требуется подключиться, и нажмите кнопку "Подключить". (Можно также ввести IP-адрес вместо имени компьютера.)

  4. При появлении запроса укажите учетные данные для учетной записи, являющейся членом группы EA.

  5. Появится диалоговое окно, аналогичное приведенному ниже.

    безопасные группы администраторов предприятия