从本地管理员组中删除域管理员

在对我的一位同事的计算机上的问题进行故障排除时，我发现无法使用PowerShell或WMI与它进行远程通信，出现“访问被拒绝”错误。当我问他这个问题时，他说他从本地Administrators组中删除了Domain Admins。我认为这似乎是一件很奇怪的事情，他坚持要求许多管理员这样做。
这感觉...对我来说是错的。您如何看待，您的经历如何？
回复32
哈瓦那罗
Brian_NogaSep 3, 2014 at 6:57 AMSep 3, 2014 at 6:57 AM
对我来说很奇怪。我工作过的每个地方都将Domain Admins作为Local Administrators组的一部分。
这篇文章对您有帮助吗？
•     
香料
 （9）
•    回复
•    
•    
 
塞拉诺
James R.Howard  Sep 3, 2014 at 7:00 AMSep 3, 2014 at 7:00 AM
我觉得您最初的猜想是正确的，他为什么这样做？属于一个域的整个要点就是可以对其进行管理。有些人可能会创建自己的组并授予该组域管理员权限，然后使用GPO来确保将该组部署到所有域计算机。除了未使用世界上每个人都知道的内置组之外，不能确保它使您更安全。但是，要使用此组，就必须知道一个已知的用户名（希望不是Administrator）和密码。但是，没有任何一个具有等效的Domain Admin权限的组会使您不知所措，因为这将使管理与域相连的PC的工作更加繁琐。
这篇文章对您有帮助吗？
•     
香料
 （6）
•    回复
•    
•    
 
塔巴斯科
MiniThumbsSep 3, 2014 at 7:01 AMSep 3, 2014 at 7:01 AM
你永远都不想那样做
将人们带出群组，但永远不要让域管理员无法访问PC，这会破坏一切
我认为他可能对禁用默认本地管理员帐户并创建一个不称为管理员的帐户感到困惑
这篇文章对您有帮助吗？
•     
香料
 （9）
•    回复
•    
•    
 
哈瓦那罗
Brian_NogaSep 3, 2014 at 7:03 AMSep 3, 2014 at 7:03 AM
他的帐户是本地管理员吗？他的PC上是否有其他管理员知道的管理帐户？
这篇文章对您有帮助吗？
•     
香料
 （1）
•    回复
•    
•    
 
达蒂尔
Thatcher  Sep 3, 2014 at 7:07 AMSep 3, 2014 at 7:07 AM
我会放回域管理员，然后从您计算机上的本地管理员组中删除您的同事。
像他一样，删除网域管理员绝对不明智。
这篇文章对您有帮助吗？
•     
香料
 （7）
•    回复
•    
•    
 
塞拉诺
jasonroperSep 3, 2014 at 7:08 AMSep 3, 2014 at 7:08 AM
那我让他解决自己的问题。
这篇文章对您有帮助吗？
•     
香料
 （5）
•    回复
•    
•    
 
锤
Chamele0nSep 3, 2014 at 7:11 AMSep 3, 2014 at 7:11 AM
我也很奇怪 域管理员能够对该计算机具有管理员权限的唯一方法是成为本地管理员组的一部分。将计算机加入域时，默认情况下，域管理员安全组被添加到本地计算机的本地管理员组中。这就是AD中的中央管理的工作方式。 
重新添加组，或在该计算机上强制执行组策略更新，一切都应该正常。 
这篇文章对您有帮助吗？
•     
香料
 （1）
•    回复
•    
•    
 
哈瓦那罗
Brianinca  Sep 3, 2014 at 7:14 AMSep 3, 2014 at 7:14 AM
如果您没有域管理员，则需要类似桌面管理员的功能。我根本不喜欢用户在工作站上使用Domain Admin凭据，但是您需要集中管理-哎呀，这就是Domain的意义！
听起来他听到了“最佳实践”的音调，但听不懂整个画面。 
TL; DR-他错了。
问候，
布莱恩在加利福尼亚
这篇文章对您有帮助吗？
•     
香料
 （4）
•    回复
•    
•    
 
塞拉诺
jschadtSep 3, 2014 at 7:42 AMSep 3, 2014 at 7:42 AM
我不记得曾经见过。
与禁用Windows中的默认本地管理员帐户（“ Administrator;”）相比，我见过的系统管理员要聪明得多，经验丰富得多，并且我看到他们用用户名和密码替换为其他本地管理员帐户选择，但我从未见过将Domain Admins组从本地Administrators组中删除。
我已经在社区学院，公立学区和地方政府中看到了这一点。通常，我也可以使用强密码使管理员保持启用状态，或者如上所述将其替换。我从未，甚至没有一次看到您的同事做了什么。
听起来像是困惑，愚蠢或两者兼而有之。
这篇文章对您有帮助吗？
•     
香料
 （3）
•    回复
•    
•    
 
泰国胡椒
Djaxis @ KDISep 3, 2014 at 7:47 AMSep 3, 2014 at 7:47 AM
KDInfotech是一家IT服务提供商。
如果他是一名同事，那么大概他从事IT工作吗？如果是，他是否已从其他计算机上删除了域管理员？
我同意这里的其他观点，他这样做是为了将其他人锁定在计算机之外。  
如果他感染了病毒并且您告诉他“无法帮助您，我不是您计算机上的管理员”，我会很棒的:)
这篇文章对您有帮助吗？
•     
香料
 （4）
•    回复
•    
•    
 
塔巴斯科
原型Sep 3, 2014 at 7:57 AMSep 3, 2014 at 7:57 AM
在我看来，您的同事正在为您提供一些A级的BS。
管理员权限是分层的。
本地管理员->域管理员->企业管理员。
如果从定义上来说您是域管理员，则您是该域的管理员，这应该包括属于该域的PC上的本地管理员权限。
在IT部门工作的14年以上，我从未在域管理员也不是本地管理员的公司工作过。
这篇文章对您有帮助吗？
•     
香料
 （1）
•    回复
•    
•    
 
塔巴斯科
OEIAdminSep 3, 2014 at 8:08 AMSep 3, 2014 at 8:08 AM
您要做的，并且绝对应该做的是，实施一个组策略首选项，该首选项完全控制哪些帐户属于您的工作站本地管理员组，并且对此也强制执行。
保护每个桌面上的本地管理员组的安全
问题解决了。
干杯
这篇文章对您有帮助吗？
•     
香料
 （3）
•    回复
•    
•    
 
达蒂尔
OP
Laurel RavenSep 3, 2014 at 8:14 AMSep 3, 2014 at 8:14 AM
只是在他的机器上；他直接将自己添加到了本地管理员中。他基本上是系统负责人（我们没有正式的人，但是他现在实际上是这个人）。
老实说，这让我觉得他正在设法隐藏一些东西，尽管他可能是从这里一位老管理员/经理那里得到的。显然，他是按原样设置网络的，当另一位管理员试图弄清楚如何设置并记录下来时，那个经理命令他不要这样做。他还显然在窗口前堆放了一些盒子，看着数据中心，所以没人能看到。
我都很奇怪
这篇文章对您有帮助吗？
•     
香料
 （1）
•    回复
•    
•    
 
达蒂尔
OP
Laurel RavenSep 3, 2014 at 8:20 AMSep 3, 2014 at 8:20 AM
OEIAdmin写道：
您要做的，并且绝对应该做的是，实施一个组策略首选项，该首选项完全控制哪些帐户属于您的工作站本地管理员组，并且对此也强制执行。
保护每个桌面上的本地管理员组的安全
问题解决了。
干杯
我熟悉该怎么做；我必须这样做，才能闯入他的VM一次以在其上升级PowerShell（他在安装更新时遇到了麻烦，因为我想他不在的时候会帮助他）。当时以为这很奇怪，但是那时并没有深入探讨。
我将对强制执行如何清除服务器上的设置进行评论，然后记得该首选项只会添加组，而不是像旧策略那样设置组中的内容的列表。所以，我可能会考虑...
这篇文章对您有帮助吗？
•     
香料
 （1）
•    回复
•    
•    
 
泰国胡椒
RobT64  Sep 3, 2014 at 10:03 AMSep 3, 2014 at 10:03 AM
那绝对没有道理。如果域管理员组或域管理员用户帐户包含在本地管理员组中，则只能对域进行管理。那会破坏很多东西，这很不好笑。这确实是非常可疑的行为。
RobT。
这篇文章对您有帮助吗？
•     
香料
 （1）
•    回复
•    
•    
 
辣椒
JARITMSep 3, 2014 at 10:03 AMSep 3, 2014 at 10:03 AM
撇开任何怀疑和阴谋论，执行管理人员应只应发出呼吁，允许或禁止这种撤职。该同事有权执行此操作的事实令人不安，应与网络管理员联系以解决和防止类似活动的发生。
这篇文章对您有帮助吗？
•     
香料
 （3）
•    回复
•    
•    
 
达蒂尔
OP
月桂树乌鸦Sep 3, 2014 at 10:58 AMSep 3, 2014 at 10:58 AM
JAITM写道：
撇开任何怀疑和阴谋论，只有执行管理员才应发出允许或禁止这种撤离的呼吁。该同事有权执行此操作的事实令人不安，应与网络管理员联系以解决和防止类似活动的发生。
老实说，这是一个很小的部门。我们只有三个人，而且我们都处于同一水平，拥有不同的背景经验。没人能真正做到这一点。
这篇文章对您有帮助吗？
•     
香料
•    回复
•    
•    
 
辣椒
jackson1970  Sep 3, 2014 at 9:36 PMSep 3, 2014 at 9:36 PM
如果他是域管理员，则他应该能够解决自己的问题。我以前见过人们这样做，但从未中断任何事情。第一次看到它时，我问高级工程师为什么要这样做，他告诉我他认为不需要任何人能够远程连接到他的机器，如果他有任何问题，他知道如何修复所有错误，如果没有，Google会修复。因此，从我的角度来看，我认为没什么大不了的。
这篇文章对您有帮助吗？
•     
香料
•    回复
•    
•    
 
塔巴斯科
glennhamptonSep 3, 2014 at 9:41 PMSep 3, 2014 at 9:41 PM
这使我想到一些以s开头的单词-阴暗，可疑和可疑。除了您提到的其他奇怪行为之外，它还为我设置了一个危险信号。
这篇文章对您有帮助吗？
•     
香料
 （1）
•    回复
•    
•    
 
达蒂尔
OP
月桂树乌鸦Sep 3, 2014 at 11:19 PMSep 3, 2014 at 11:19 PM
jackson1970写道：
如果他是域管理员，则他应该能够解决自己的问题。我以前见过人们这样做，但从未中断任何事情。第一次看到它时，我问高级工程师为什么要这样做，他告诉我他认为不需要任何人能够远程连接到他的机器，如果他有任何问题，他知道如何修复所有错误，如果没有，Google会修复。因此，从我的角度来看，我认为没什么大不了的。
哪一个仍然不能回答他为什么这么做（他们两个）。他是否担心某人做不该做的事情？他为什么认为Domain Admin会对他的机器做些什么？
此外，他要阻止的唯一人员是真正愿意进入的人可以取消阻止。
这篇文章对您有帮助吗？
•     
香料
•    回复
•    
•    
 
达蒂尔
Thatcher  Sep 3, 2014 at 11:23 PMSep 3, 2014 at 11:23 PM
jackson1970写道：
如果他是域管理员，则他应该能够解决自己的问题。我以前见过人们这样做，但从未中断任何事情。第一次看到它时，我问高级工程师为什么要这样做，他告诉我他认为不需要任何人能够远程连接到他的机器，如果他有任何问题，他知道如何修复所有错误，如果没有，Google会修复。因此，从我的角度来看，我认为没什么大不了的。
除了计算机不属于单个员工这一事实外，这没什么大不了的。它属于公司。在一个很好的“假设”场景中，如果员工中奖并辞职，则其他人需要能够管理计算机。在积极程度较低的情况下，如果雇员被解雇，则需要有人能够管理计算机。在中间立场的情况下，某人需要具有管理员权限，以防该员工在休假或生病时发生某些事情。在所有情况下，都需要其他人在计算机上拥有管理员权限，最简单的方法是通过将域管理员作为本地管理员组的一部分的内置方法。
TLDR：这是公司的计算机，如果员工缺席，则需要其他人才能管理计算机。
这篇文章对您有帮助吗？
•     
香料
 （2）
•    回复
•    
•    
 
辣椒
m @ ttshawSep 3, 2014 at 11:38 PMSep 3, 2014 at 11:38 PM
在大型企业托管桌面环境中，这是常见的做法。但是对于中小企业而言，矫kill过正。通常，“最佳做法”并不总是适用！
通常，要么删除域管理员，要么添加另一个（例如桌面管理员）。或从域管理员中删除的所有用户，并使用了另一个组。
这是基于角色的简单访问-在大型企业域管理员中，管理员管理域（即AD）而不是台式机。桌面工程师等可以做到这一点。
当然，我们都为此使用管理员帐户，而不是我们的普通用户名;-)
这篇文章对您有帮助吗？
•     
香料
•    回复
•    
•    
 
塔巴斯科
格雷格·斯特里克兰（Greg Strickland）Sep 3, 2014 at 11:56 PMSep 3, 2014 at 11:56 PM
w，有人负责，即使他们实际上不是您的部门。除非您是所有者，否则总会有人向您报告。但是，正如该线程中多次重复的那样，您的同事是错误的。“很多管理员”当然不会这样做，而是完全相反。实际上，在我工作的地方，政策是这样的：
1：将内置的管理员和来宾帐户重命名为虚构的名称（即，不是在这里工作的人）
2：也使用虚构的名称创建新的本地管理员
3：禁用内置的管理员和来宾帐户
4：使用组策略定期清理组成员身份，包括删除不是在步骤3中建立的所有本地帐户
。5：依此类推
这篇文章对您有帮助吗？
•     
香料
•    回复
•    
•    
 
达蒂尔
OP
月桂树乌鸦Sep 4, 2014 at 12:14 AMSep 4, 2014 at 12:14 AM
撒切尔写道：
除了计算机不属于单个员工这一事实外，这没什么大不了的。它属于公司。在一个很好的“假设”场景中，如果员工中奖并辞职，则其他人需要能够管理计算机。在积极程度较低的情况下，如果雇员被解雇，则需要有人能够管理计算机。在中间立场的情况下，某人需要具有管理员权限，以防该员工在休假或生病时发生某些事情。在所有情况下，都需要其他人在计算机上拥有管理员权限，最简单的方法是通过将域管理员作为本地管理员组的一部分的内置方法。
TLDR：这是公司的计算机，如果员工缺席，则需要其他人才能管理计算机。
+展开
你说的比我好得多...谢谢！
 
塞拉诺
julianddavidsonSep 4, 2014 at 6:11 AMSep 4, 2014 at 6:11 AM
几天前，我在计算机的本地管理员组中注意到了域管理员，并且不确定是否正常。我当时正在考虑出于特定目的配置受限组策略。现在有意义。
他是否认为许多管理员当然会在自己的计算机或所有计算机上执行此操作？ 
我会在看其他机器，看他是否在它们上面做过。如果他有，那么修复它可能会解决一些您不一定知道的问题，但会影响用户/安全性/监视/ spiceworks /备份等。
阴谋论比比皆是，但听起来他只是不知道自己在做什么。
这篇文章对您有帮助吗？
•     
香料
•    回复
•    
•    
 
皮门托
antoniofcinzaOct 3, 2014 at 2:48 AMOct 3, 2014 at 2:48 AM
一号帖子
大家好：
我同意这是一个错误的政策，并且在99％的通常情况下都是错误的。但是我也认为这是一个有趣的配置，在某些情况下可能有用：例如，一小群人可能需要一台访问受限的计算机（想想机密信息高之类的东西）。他们可能想授予一小部分域用户独占访问权限，但是他们不能信任访问此计算机的域管理员。在这种情况下，从本地管理员组中删除域管理员可能是一个解决方案，对吗？你怎么看？

很有意思。问候。
这篇文章对您有帮助吗？
•     
香料
•    回复
•    
•    
 
达蒂尔
OP
Laurel RavenOct 3, 2014 at 5:09 AMOct 3, 2014 at 5:09 AM
antoniofcinza写道：
大家好：
我同意这是一个错误的政策，并且在99％的通常情况下都是错误的。但是我也认为这是一个有趣的配置，在某些情况下可能有用：例如，一小群人可能需要一台访问受限的计算机（想想机密信息高之类的东西）。他们可能想授予一小部分域用户独占访问权限，但是他们不能信任访问此计算机的域管理员。在这种情况下，从本地管理员组中删除域管理员可能是一个解决方案，对吗？你怎么看？

很有意思。问候。
有趣的理论，但从安全角度来看最终无用。域管理员可以通过创建一个GPO来添加该组，从而侵入任何系统，即使没有该系统。
如果您确实需要，一个更好的解决方案是严格限制实际拥有该组成员资格的人员。
这篇文章对您有帮助吗？
•     
香料
 （1）
•    回复
•    
•    
 
泰国胡椒
RobT64  Oct 3, 2014 at 7:20 AMOct 3, 2014 at 7:20 AM
antoniofcinza写道：
大家好：
我同意这是一个错误的政策，并且在99％的通常情况下都是错误的。但是我也认为这是一个有趣的配置，在某些情况下可能有用：例如，一小群人可能需要一台访问受限的计算机（想想机密信息高之类的东西）。他们可能想授予一小部分域用户独占访问权限，但是他们不能信任访问此计算机的域管理员。在这种情况下，从本地管理员组中删除域管理员可能是一个解决方案，对吗？你怎么看？

很有意思。问候。
如果您需要那种安全性，则需要按照Raven Hunter的上述说明来限制域管理员组的成员身份，或者只是将其置于域之外。我认为您还需要使用户意识到，任何有一定知识的人都可以走，从CD重新启动计算机，更改本地管理员密码，并在几分钟之内访问整个PC。我知道我可以

因此，恕我直言，更好的方法是使用加密。这样，域管理员是否有权访问计算机就没有关系了。无论如何，如果没有加密密钥，他们将无法读取数据。

RobT。
这篇文章对您有帮助吗？
•     
香料
 （3）
•    回复
•    
•    
 
辣椒
Mike1879Nov 19, 2014 at 5:05 AMNov 19, 2014 at 5:05 AM
m @ ttshaw写道：
在大型企业托管桌面环境中，这是常见的做法。
这个。如果您是一家大型公司的一个小部门（您被委派了一个OU），并且唯一的域管理员（您从未认识过）位于数千英里之外的另一个国家的总部，那么您可以放心在这项政策中（不是这些家伙不能只是通过GPO重新添加自己）。
这篇文章对您有帮助吗？
•     
香料
•    回复
•    
•    
 
皮门托
jameshessNov 19, 2014 at 6:15 AMNov 19, 2014 at 6:15 AM
一号帖子
文本
撒切尔写道：除了计算机不属于单个员工这一事实外，这没什么大不了的。它属于公司。在一个很好的“假设”场景中，如果员工中奖并辞职，则其他人需要能够管理计算机。
我想代替这个；我要指出的是，许多公司都将运行某些网络清单软件，并且监视软件产品需要管理员访问桌面。如果他的配置。干扰此事，则可能与公司目标不符。
您所说的工作站和雇员支付的任何工作结果（保存到计算机上）的结果均属于公司所有，这的确是事实。    您要指出的问题不过是其他员工的便利之一；一个台式机没什么大不了的； 机构应采取一些保护措施，例如备份以确保工作产品的安全，而不仅仅是将其存储在一台机器上；并且他们应采用可验证的方式监控计算机使用策略的符合性，而无需手动访问端点（怀疑任何违反政策的行为都是由远程管理端点的用户完成的。）   公司始终可以通过重新安装软件来重新获得对其资产的控制权，如果他们遵循严格的安全原则，则他们需要格式化旧工作站并重新安装它，以使其处于已知的明确状态，然后再将其转移到新工作站上。员工，反正。  
另一方面，如果其他员工在Domain Admins中具有普通用户帐户，则可以无缝地对高级管理员的桌面进行远程管理员访问；可能会滥用特权。另一个特权用户可能滥用特权来安装恶意软件，并为另一位管理员制定行为，而没有负责任的机制。
的确，默认情况下，域管理员也是组策略的创建者，他们可以非常轻松地创建受限组策略，该策略将撤消此操作并强制域管理员进入本地管理员组，另一方面，这样做的过程将需要专业知识，并且将在此过程中创造证据。
如果这个人是首席系统管理员，那么对我来说，他可能有理由退出自己的桌面，并以管理员的身份登录，以便为某些攻击提供额外的防护。
从某种意义上讲，它可以帮助保护自己和公司，这很聪明。一般来说，这是个坏主意，但是我称之为“一次性”（或称为“特例”区域）的主管系统管理员的管理工作站，在该区域中，安全防御的强度可能比快速便捷的远程管理的便利性更为重要。 。
有些甚至可能会变得更加极端，例如将所有Domain Admin安全工作站置于“身份验证策略”筒仓中，并且还仅允许AD管理团队的普通用户帐户对其安全工作站进行身份验证。可能不是在这种情况下，但是在其他情况下，出于安全原因，帮助包含域管理员确实很有意义。

这篇文章对您有帮助吗？
•     
香料
•    回复
•    
•    
 
辣椒
cthomas605Oct 8, 2015 at 4:31 AMOct 8, 2015 at 4:31 AM
首先，虽然这不是一种普遍的做法，但是当作为增强安全状况的项目的一部分来完成时，这绝对是有道理的。另一方面，如果他只是这样做是为了防止人们访问他的系统，那么您可能会遇到问题。
其次，我强烈建议每个人熟悉“红队”用来攻击Active Directory并实施尽可能多的安全防护和最佳做法的策略。ADSecurity.org的人们刚刚播放了一段精彩的“红色与蓝色：现代Active Directory攻击和防御”视频。
https://adsecurity.org/?p=1738
https://youtu.be/Lz6haohGAMc
第三，永远不要，永远不要使用一组Domain Admin凭据登录到端点，然后重新启动必须使用AD凭据登录的任何计算机，以从内存中清除凭据。
... ct
1发现这很有帮助
•     
香料
 （4）
•    回复
•    
•    
 
辣椒
cthomas605Oct 8, 2015 at 4:36 AMOct 8, 2015 at 4:36 AM
补充阅读；
https://technet.microsoft.com/zh-CN/library/dn487454.aspx