Поделиться через

Приложение Е. Защита групп администраторов домена в Active Directory

Приложение Е. Защита групп администраторов домена в Active Directory

Как и в случае с группой корпоративных администраторов (EA), членство в группе "Администраторы домена" (DA) должно потребоваться только в сценариях сборки или аварийного восстановления. В группе DA не должно быть учетных записей пользователей, за исключением встроенной учетной записи администратора для домена, если она была защищена, как описано в приложении D. Защита встроенных учетных записей администраторов в Active Directory.

Администраторы домена по умолчанию являются членами локальных групп администраторов на всех серверах-членах и рабочих станциях в соответствующих доменах. Это вложение по умолчанию не должно быть изменено для поддержки и аварийного восстановления. Если администраторы домена были удалены из локальных групп администраторов на серверах-членах, группа должна быть добавлена в группу администраторов на каждом сервере-члене и рабочей станции в домене. Группа администраторов домена каждого домена должна быть защищена, как описано в пошаговые инструкции, описанные ниже.

Для группы администраторов домена в каждом домене в лесу:

  1. Удалите всех участников из группы, за исключением встроенной учетной записи администратора для домена, если она была защищена, как описано в приложении D. Защита встроенных учетных записей администраторов в Active Directory.

  2. В объектах групповой политики, связанных с подразделениями, содержащими серверы-члены и рабочие станции в каждом домене, группа DA должна быть добавлена в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначения прав пользователя:

    • Отказ в доступе к компьютеру из сети

    • Отказ во входе в качестве пакетного задания

    • Отказать во входе в качестве службы

    • Запретить локальный вход

    • Запрет входа через права пользователя служб удаленных рабочих столов

  3. Аудит должен быть настроен для отправки оповещений, если какие-либо изменения вносятся в свойства или членство в группе администраторов домена.

Пошаговые инструкции по удалению всех участников из группы администраторов домена

  1. В диспетчер сервера щелкните "Сервис" и щелкните Пользователи и компьютеры Active Directory.

  2. Чтобы удалить всех участников из группы DA, выполните следующие действия.

    1. Дважды щелкните группу "Администраторы домена" и перейдите на вкладку "Участники ".

      Снимок экрана: вкладка

    2. Выберите члена группы, нажмите кнопку "Удалить", нажмите кнопку "Да" и нажмите кнопку "ОК".

  3. Повторите шаг 2, пока все члены группы DA не будут удалены.

Пошаговые инструкции по защите администраторов домена в Active Directory

  1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление групповыми политиками".

  2. В дереве консоли разверните <узел Forest>\Domain\<Domain>, а затем объекты групповой политики (где <лес> является именем леса и <доменом> — это имя домена, в котором нужно задать групповую политику).

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики и нажмите кнопку "Создать".

    Снимок экрана, на котором показано, где выбрать

  4. В диалоговом окне "Создать объект групповой политики" введите <имя> групповой политики и нажмите кнопку "ОК" (где <имя> групповой политики — имя объекта групповой политики).

    Снимок экрана, на котором показано, где назовите объект групповой политики, чтобы защитить администраторов домена в Active Directory.

  5. В области сведений щелкните правой кнопкой мыши <имя> групповой политики и нажмите кнопку "Изменить".

  6. Перейдите к разделу "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики" и щелкните "Назначение прав пользователя".

    Снимок экрана, на котором показано, где можно перейти, чтобы выбрать администратора прав пользователя для защиты администраторов домена в Active Directory.

  7. Настройте права пользователя, чтобы запретить членам группы "Администраторы домена" доступ к серверам-членам и рабочим станциям по сети, выполнив следующие действия:

    1. Дважды щелкните "Запретить доступ к этому компьютеру" из сети и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите администраторов домена, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы запретить членам группы администраторов домена доступ к серверам и рабочим станциям по сети.

    4. Нажмите кнопку "ОК" и "ОК".

  8. Настройте права пользователя, чтобы запретить вход членам группы DA в качестве пакетного задания, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход в качестве пакетного задания " и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите администраторов домена, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы предотвратить вход членов группы DA в качестве пакетного задания.

    4. Нажмите кнопку "ОК" и "ОК".

  9. Настройте права пользователя, чтобы запретить вход членам группы DA в качестве службы, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход в качестве службы " и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите администраторов домена, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы предотвратить вход членов группы DA в качестве службы.

    4. Нажмите кнопку "ОК" и "ОК".

  10. Настройте права пользователя, чтобы запретить вход членам группы администраторов домена локально на серверы-члены и рабочие станции, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход" локально и выберите " Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите администраторов домена, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы запретить пользователям группы

    4. Нажмите кнопку "ОК" и "ОК".

  11. Настройте права пользователя, чтобы запретить членам группы администраторов домена доступ к серверам-членам и рабочим станциям через службы удаленных рабочих столов, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход" через службы удаленных рабочих столов и выберите "Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

    3. Введите администраторов домена, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы запретить членам группы администраторов домена доступ к серверам-членам и рабочим станциям через службы удаленных рабочих столов

    4. Нажмите кнопку "ОК" и "ОК".

  12. Чтобы выйти из редактора управления групповыми политиками, нажмите кнопку "Файл" и нажмите кнопку " Выйти".

  13. В службе управления групповыми политиками свяжите объект групповой политики с сервером-членом и подразделениями рабочих станций, выполнив следующие действия.

    1. Перейдите к <лесу>\Domain\<Domain> (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется задать групповую политику).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применен объект групповой политики, и щелкните ссылку на существующий объект групповой политики.

      Снимок экрана: ссылка на существующий пункт меню групповой политики при щелчке правой кнопкой мыши подразделения, к которому будет применен объект групповой политики.

    3. Выберите только что созданный объект групповой политики и нажмите кнопку "ОК".

      Снимок экрана, на котором показано, где выбрать только что созданный объект групповой политики при связывании объекта групповой политики с сервером-членом.

    4. Создайте ссылки на все остальные подразделения, содержащие рабочие станции.

    5. Создайте ссылки на все остальные подразделения, содержащие серверы-члены.

      Внимание

      Если серверы переходов используются для администрирования контроллеров домена и Active Directory, убедитесь, что серверы переходов находятся в подразделении, к которому эти объекты групповой политики не связаны.

Этапы проверки

Проверка параметров групповой политики "Запрет доступа к этому компьютеру из сети"

С любого сервера-члена или рабочей станции, не затронутых изменениями объекта групповой политики (например, с помощью сервера перехода), попытайтесь получить доступ к серверу-члену или рабочей станции через сеть, затронутую изменениями групповой политики. Чтобы проверить параметры групповой политики, попытайтесь сопоставить системный диск с помощью команды NET USE .

  1. Войдите локально с помощью учетной записи, являющейся членом группы администраторов домена.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите командную строку правой кнопкой мыши и нажмите кнопку "Запустить от имени администратора", чтобы открыть командную строку с повышенными привилегиями.

  4. Когда появится запрос на утверждение повышения прав, нажмите кнопку "Да".

    Снимок экрана, на котором показано, где утвердить повышение прав при проверке запрета доступа к параметрам групповой политики сети компьютера.

  5. В окне командной строки введите net use \\<Server Name>\c$, где <имя> сервера — имя сервера-члена или рабочей станции, к которой вы пытаетесь получить доступ по сети.

  6. На следующем снимка экрана показано сообщение об ошибке, которое должно появиться.

    Снимок экрана, на котором показано сообщение об ошибке, которое должно отображаться при попытке выполнить аккссирование сервера-члена.

Проверка параметров групповой политики "Запрет входа в качестве пакетного задания"

На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

Создание пакетного файла

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите блокнот и нажмите кнопку "Блокнот".

  3. В Блокноте введите dir c:.

  4. Нажмите кнопку " Файл" и нажмите кнопку "Сохранить как".

  5. В поле "Имя файла" введите <имя файла>.bat (где <имя> файла — имя нового пакетного файла).

Планирование задачи

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите планировщик задач и нажмите кнопку "Планировщик задач".

    Примечание.

    На компьютерах под управлением Windows 8 в поле поиска введите задачи расписания и щелкните "Расписание задач".

  3. В строке меню планировщика задач щелкните "Действие" и нажмите кнопку "Создать задачу".

  4. В диалоговом окне "Создание задачи" введите< имя> задачи (где <имя> задачи — имя новой задачи).

  5. Перейдите на вкладку "Действия " и нажмите кнопку "Создать".

  6. В поле "Действие" выберите "Запустить программу".

  7. В разделе "Программа или сценарий" нажмите кнопку "Обзор", найдите и выберите пакетный файл, созданный в разделе "Создать пакетный файл " и нажмите кнопку "Открыть".

  8. Щелкните OK.

  9. Перейдите на вкладку Общие.

  10. В разделе "Параметры безопасности " нажмите кнопку "Изменить пользователя" или "Группа".

  11. Введите имя учетной записи, являющейся членом группы "Администраторы домена", нажмите кнопку " Проверить имена" и нажмите кнопку "ОК".

  12. Выберите "Запустить", вошедший в систему или нет , и выберите " Не хранить пароль". Задача будет иметь доступ только к ресурсам локального компьютера.

  13. Щелкните OK.

  14. Появится диалоговое окно, запрашивающее учетные данные учетной записи пользователя для выполнения задачи.

  15. После ввода учетных данных нажмите кнопку "ОК".

  16. Появится диалоговое окно, аналогичное приведенному ниже.

    Снимок экрана: ошибка, которая должна возникать после ввода учетных данных.

Проверка параметров групповой политики "Запрет входа в систему как услуга"

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите службы и щелкните "Службы".

  4. Найдите и дважды щелкните "Печатать spooler".

  5. Откройте вкладку Вход.

  6. В разделе "Вход как" выберите параметр "Эта учетная запись ".

  7. Нажмите кнопку "Обзор", введите имя учетной записи, являющейся членом группы "Администраторы домена", нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

  8. В разделе "Пароль и подтверждение пароля" введите пароль выбранной учетной записи и нажмите кнопку "ОК".

  9. Нажмите кнопку "ОК " еще три раза.

  10. Щелкните правой кнопкой мыши "Печатать spooler" и нажмите кнопку "Перезапустить".

  11. При перезапуске службы появится диалоговое окно, аналогичное приведенному ниже.

    Снимок экрана: диалоговое окно, которое отображается после перезапуска службы.

Восстановление изменений в службе spooler принтера

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  3. В поле поиска введите службы и щелкните "Службы".

  4. Найдите и дважды щелкните "Печатать spooler".

  5. Откройте вкладку Вход.

  6. В разделе "Вход как" выберите учетную запись локальной системы и нажмите кнопку "ОК".

Проверка параметров групповой политики "Запрет входа в локальном режиме"

  1. С любого сервера-члена или рабочей станции, затронутой изменениями групповой политики, попытайтесь войти локально с помощью учетной записи, являющейся членом группы администраторов домена. Появится диалоговое окно, аналогичное приведенному ниже.

    группы администраторов защищенных доменов

Проверка параметров групповой политики "Запрет входа в систему через службы удаленных рабочих столов"

  1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

  2. В поле поиска введите подключение к удаленному рабочему столу и нажмите кнопку "Подключение к удаленному рабочему столу".

  3. В поле "Компьютер" введите имя компьютера, к которому требуется подключиться, и нажмите кнопку "Подключить". (Можно также ввести IP-адрес вместо имени компьютера.)

  4. При появлении запроса укажите учетные данные для учетной записи, являющейся членом группы администраторов домена.

  5. Появится диалоговое окно, аналогичное приведенному ниже.

    Снимок экрана: сообщение, указывающее, что метод входа, который вы используете, не разрешен.