Приложение Ж. Защита групп администраторов в Active Directory

Приложение Ж. Защита групп администраторов в Active Directory

Как и в случае с группами администраторов предприятия (EA) и администраторов домена (DA), членство в встроенной группе администраторов (BA) должно потребоваться только в сценариях сборки или аварийного восстановления. В группе администраторов не должно быть учетных записей пользователей, за исключением встроенной учетной записи администратора для домена, если она была защищена, как описано в приложении D. Защита встроенных учетных записей администраторов в Active Directory.

Администраторы по умолчанию являются владельцами большинства объектов AD DS в соответствующих доменах. Членство в этой группе может потребоваться в сценариях сборки или аварийного восстановления, в которых требуется владение или возможность владения объектами. Кроме того, DAs и EAs наследуют ряд своих прав и разрешений в соответствии с их членством по умолчанию в группе администраторов. Не следует изменять вложенную группу по умолчанию для привилегированных групп в Active Directory, а группу администраторов каждого домена следует защитить, как описано в пошаговые инструкции, описанные ниже.

! ВНИМАНИЕ. Действия, описанные в этом документе, должны быть проверены в нерабокой среде перед выполнением в рабочей среде.

Для группы "Администраторы" в каждом домене в лесу:

1. Удалите всех участников из группы "Администраторы", за исключением встроенной учетной записи администратора для домена, если она была защищена, как описано в приложении D. Защита встроенных учетных записей администраторов в Active Directory.

2. В GPOs, связанных с подразделениями, содержащими серверы-члены и рабочие станции в каждом домене, группу BA следует добавить в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Политики\Параметры Windows\Параметры безопасности\Локальные политики\ Назначение прав пользователя:

   • Отказ в доступе к компьютеру из сети

   • Отказ во входе в качестве пакетного задания

   • Отказать во входе в качестве службы

3. В подразделении контроллеров домена в каждом домене в лесу группа администраторов должна предоставлять следующие права пользователя:

   • Доступ к этому компьютеру из сети

   • Локальный вход в систему

   • Разрешить вход в систему через службу удаленных рабочих столов

4. Аудит должен быть настроен для отправки оповещений, если какие-либо изменения вносятся в свойства или членство в группе администраторов.

Пошаговые инструкции по удалению всех участников из группы администраторов

1. В диспетчер сервера щелкните "Сервис" и щелкните Пользователи и компьютеры Active Directory.

2. Чтобы удалить всех участников из группы "Администраторы", сделайте следующее:

   1. Дважды щелкните группу "Администраторы" и перейдите на вкладку "Участники ".

      

   2. Выберите члена группы, нажмите кнопку "Удалить", нажмите кнопку "Да" и нажмите кнопку "ОК".

3. Повторите шаг 2, пока все члены группы администраторов не будут удалены.

Пошаговые инструкции по защите групп администраторов в Active Directory

1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление групповыми политиками".

2. В дереве консоли разверните <узел Forest>\Domain\<Domain>, а затем объекты групповой политики (где <лес> является именем леса и <доменом> — это имя домена, в котором нужно задать групповую политику).

3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики и нажмите кнопку "Создать".

   

4. В диалоговом окне "Создать объект групповой политики" введите <имя> групповой политики и нажмите кнопку "ОК" (где имя групповой политики — имя объекта групповой политики).

   

5. В области сведений щелкните правой кнопкой мыши <имя> групповой политики и нажмите кнопку "Изменить".

6. Перейдите к разделу "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики" и щелкните "Назначение прав пользователя".

   

7. Настройте права пользователя, чтобы запретить членам группы "Администраторы" доступ к серверам-членам и рабочим станциям по сети, выполнив следующие действия:

   1. Дважды щелкните "Запретить доступ к этому компьютеру" из сети и выберите " Определить эти параметры политики".

   2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

   3. Введите администраторов, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      

   4. Нажмите кнопку "ОК" и "ОК".

8. Настройте права пользователя, чтобы запретить вход членам группы "Администраторы" в качестве пакетного задания, выполнив следующие действия:

   1. Дважды щелкните "Запретить вход в качестве пакетного задания " и выберите " Определить эти параметры политики".

   2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

   3. Введите администраторов, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      

   4. Нажмите кнопку "ОК" и "ОК".

9. Настройте права пользователя, чтобы запретить вход членам группы "Администраторы" в качестве службы, выполнив следующие действия:

   1. Дважды щелкните "Запретить вход в качестве службы " и выберите " Определить эти параметры политики".

   2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

   3. Введите администраторов, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      

   4. Нажмите кнопку "ОК" и "ОК".

10. Чтобы выйти из редактора управления групповыми политиками, нажмите кнопку "Файл" и нажмите кнопку " Выйти".

11. В службе управления групповыми политиками свяжите объект групповой политики с сервером-членом и подразделениями рабочих станций, выполнив следующие действия.

    1. Перейдите к <лесу>>\Domain\<Domain> (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется задать групповую политику).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применен объект групповой политики, и щелкните ссылку на существующий объект групповой политики.

       

    3. Выберите только что созданный объект групповой политики и нажмите кнопку "ОК".

       

    4. Создайте ссылки на все остальные подразделения, содержащие рабочие станции.

    5. Создайте ссылки на все остальные подразделения, содержащие серверы-члены.

       Внимание

       Если серверы переходов используются для администрирования контроллеров домена и Active Directory, убедитесь, что серверы переходов находятся в подразделении, к которому эти объекты групповой политики не связаны.

       Примечание.

       При реализации ограничений для группы администраторов в группах групповой политики Windows применяет параметры к членам локальной группы администраторов компьютера в дополнение к группе администраторов домена. Поэтому при реализации ограничений в группе администраторов следует использовать осторожность. Хотя запрет на входы в сеть, пакет и службы для членов группы администраторов рекомендуется реализовать, не ограничивать локальные входы или входы через службы удаленных рабочих столов. Блокировка этих типов входа может блокировать законное администрирование компьютера членами локальной группы администраторов.

       На следующем снимке экрана показаны параметры конфигурации, которые блокируют неправильное использование встроенных учетных записей локальных и администраторов домена в дополнение к неправильному использованию встроенных локальных или доменных администраторов. Обратите внимание, что право пользователя "Запретить вход через службы удаленных рабочих столов" не включает группу "Администраторы", так как ее включение в этот параметр также блокирует эти входы для учетных записей, входящих в группу администраторов локального компьютера. Если службы на компьютерах настроены для запуска в контексте любой из привилегированных групп, описанных в этом разделе, реализация этих параметров может привести к сбою служб и приложений. Таким образом, как и во всех рекомендациях в этом разделе, необходимо тщательно проверить параметры для применимости в вашей среде.

       

Пошаговые инструкции по предоставлению прав пользователя группе администраторов

1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление групповыми политиками".

2. В дереве консоли разверните <узел Forest>\Domain\<Domain>, а затем объекты групповой политики (где <лес> является именем леса и <доменом> — это имя домена, в котором нужно задать групповую политику).

3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики и нажмите кнопку "Создать".

   

4. В диалоговом окне "Создать объект групповой политики" введите <имя> групповой политики и нажмите кнопку "ОК" (где <имя> групповой политики — имя объекта групповой политики).

   

5. В области сведений щелкните правой кнопкой мыши <имя> групповой политики и нажмите кнопку "Изменить".

6. Перейдите к разделу "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики" и щелкните "Назначение прав пользователя".

   

7. Настройте права пользователя, чтобы разрешить членам группы администраторов доступ к контроллерам домена через сеть, выполнив следующие действия:

   1. Дважды щелкните доступ к этому компьютеру из сети и выберите " Определить эти параметры политики".

   2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

   3. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

      

   4. Нажмите кнопку "ОК" и "ОК".

8. Настройте права пользователя, чтобы разрешить членам группы "Администраторы" входить локально, выполнив следующие действия:

   1. Дважды щелкните "Разрешить вход" локально и выберите " Определить эти параметры политики".

   2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

   3. Введите администраторов, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      

   4. Нажмите кнопку "ОК" и "ОК".

9. Настройте права пользователя, чтобы разрешить членам группы "Администраторы" войти через службы удаленных рабочих столов, выполнив следующие действия:

   1. Дважды щелкните "Разрешить вход" через службы удаленных рабочих столов и выберите "Определить эти параметры политики".

   2. Нажмите кнопку "Добавить пользователя" или "Группа" и нажмите кнопку "Обзор".

   3. Введите администраторов, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

      

   4. Нажмите кнопку "ОК" и "ОК".

10. Чтобы выйти из редактора управления групповыми политиками, нажмите кнопку "Файл" и нажмите кнопку " Выйти".

11. В службе управления групповыми политиками свяжите объект групповой политики с подразделением контроллеров домена, выполнив следующие действия.

    1. Перейдите к <лесу>\Domain\<Domain> (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется задать групповую политику).

    2. Щелкните правой кнопкой мыши подразделение контроллеров домена и щелкните ссылку на существующий объект групповой политики.

       

    3. Выберите только что созданный объект групповой политики и нажмите кнопку "ОК".

       

Этапы проверки

Проверка параметров групповой политики "Запрет доступа к этому компьютеру из сети"

С любого сервера-члена или рабочей станции, не затронутых изменениями объекта групповой политики (например, с помощью сервера перехода), попытайтесь получить доступ к серверу-члену или рабочей станции через сеть, затронутую изменениями групповой политики. Чтобы проверить параметры групповой политики, попытайтесь сопоставить системный диск с помощью команды NET USE .

1. Войдите локально с помощью учетной записи, являющейся членом группы "Администраторы".

2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

3. В поле поиска введите командную строку правой кнопкой мыши и нажмите кнопку "Запустить от имени администратора", чтобы открыть командную строку с повышенными привилегиями.

4. Когда появится запрос на утверждение повышения прав, нажмите кнопку "Да".

   

5. В окне командной строки введите net use \\<Server Name>\c$, где <имя> сервера — имя сервера-члена или рабочей станции, к которой вы пытаетесь получить доступ по сети.

6. На следующем снимка экрана показано сообщение об ошибке, которое должно появиться.

   

Проверка параметров групповой политики "Запрет входа в качестве пакетного задания"

На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

Создание пакетного файла

1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

2. В поле поиска введите блокнот и нажмите кнопку "Блокнот".

3. В Блокноте введите dir c:.

4. Нажмите кнопку " Файл" и нажмите кнопку "Сохранить как".

5. В поле "Имя файла" введите <имя файла>.bat (где <имя> файла — имя нового пакетного файла).

Планирование задачи

1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

2. В поле поиска введите планировщик задач и нажмите кнопку "Планировщик задач".

   Примечание.

   На компьютерах под управлением Windows 8 в поле поиска введите задачи расписания и щелкните "Расписание задач".

3. Нажмите кнопку " Действие" и нажмите кнопку "Создать задачу".

4. В диалоговом окне "Создание задачи" введите< имя> задачи (где <имя> задачи — имя новой задачи).

5. Перейдите на вкладку "Действия " и нажмите кнопку "Создать".

6. В поле "Действие" выберите "Запустить программу".

7. В поле "Программа или скрипт" нажмите кнопку "Обзор", найдите и выберите пакетный файл, созданный в разделе "Создать пакетный файл" и нажмите кнопку "Открыть".

8. Щелкните OK.

9. Перейдите на вкладку Общие.

10. В поле "Параметры безопасности" нажмите кнопку "Изменить пользователя" или "Группа".

11. Введите имя учетной записи, являющейся членом группы "Администраторы", нажмите кнопку " Проверить имена" и нажмите кнопку "ОК".

12. Выберите "Запустить", вошедший или нет, и не хранить пароль. Задача будет иметь доступ только к ресурсам локального компьютера.

13. Щелкните OK.

14. Появится диалоговое окно, запрашивающее учетные данные учетной записи пользователя для выполнения задачи.

15. После ввода пароля нажмите кнопку "ОК".

16. Появится диалоговое окно, аналогичное приведенному ниже.

    

Проверка параметров групповой политики "Запрет входа в систему как услуга"

1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

3. В поле поиска введите службы и щелкните "Службы".

4. Найдите и дважды щелкните "Печатать spooler".

5. Откройте вкладку Вход.

6. В поле "Вход в качестве" выберите эту учетную запись.

7. Нажмите кнопку "Обзор", введите имя учетной записи, являющейся членом группы "Администраторы", нажмите кнопку " Проверить имена" и нажмите кнопку " ОК".

8. В полях "Пароль" и "Подтверждение пароля" введите пароль выбранной учетной записи и нажмите кнопку "ОК".

9. Нажмите кнопку "ОК " еще три раза.

10. Щелкните правой кнопкой мыши "Печатать spooler" и нажмите кнопку "Перезапустить".

11. При перезапуске службы появится диалоговое окно, аналогичное приведенному ниже.

    

Восстановление изменений в службе spooler принтера

1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

3. В поле поиска введите службы и щелкните "Службы".

4. Найдите и дважды щелкните "Печатать spooler".

5. Откройте вкладку Вход.

6. В поле "Вход в качестве" нажмите кнопку "Локальная системная учетная запись" и нажмите кнопку "ОК".