保护Active Directory中的域管理员组

最新推荐文章于 2023-09-17 16:59:33 发布
最新推荐文章于 2023-09-17 16:59:33 发布
阅读量997 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/103995623
版权

附录F:保护Active Directory中的域管理员组

  • 2016年8月31日
  • 8分钟阅读

 

适用于:Windows Server 2008Windows Server 2008 R2Windows Server 2012 R2Windows Server 2012

附录F:保护Active Directory中的域管理员组

与企业管理员(EA)组一样,仅在构建或灾难恢复方案中才需要域管理员(DA)组的成员身份。如果域的内置管理员帐户已按照附录D:在Active Directory中保护内置管理员帐户中的说明进行了保护,则DA组中不应有日常用户帐户,但该域的内置管理员帐户除外。

默认情况下,域管理员是各自域中所有成员服务器和工作站上本地Administrators组的成员。出于支持性和灾难恢复的目的,不应修改此默认嵌套。如果已从成员服务器上的本地Administrators组中删除Domain Admins,则应将该组添加到域中每个成员服务器和工作站上的Administrators组中。每个域的Domain Admins组均应按照以下分步说明中的说明进行保护。

对于目录林中每个域中的Domain Admins组:

  1. 从域中删除所有成员,但该域的内置Administrator帐户可能会例外,前提是已按照附录D:在Active Directory中保护内置Administrator帐户中的说明对其进行了保护
  2. 在链接到每个域中包含成员服务器和工作站的OUGPO中,应将DA组添加到“ 计算机配置\策略\ Windows设置\安全设置\本地设置\用户权限分配的以下用户权限中:
    • 拒绝从网络访问此计算机
    • 拒绝作为批处理作业登录
    • 拒绝作为服务登录
    • 拒绝本地登录
    • 拒绝通过远程桌面服务用户权限登录
  3. 如果对Domain Admins组的属性或成员身份进行了任何修改,则应将审核配置为发送警报。

Domain Admins组中删除所有成员的分步说明

  1. 服务器管理器中,单击“ 工具,然后单击“ Active Directory用户和计算机
  2. 要从DA组中删除所有成员,请执行以下步骤:
    1. 双击“ 域管理员组,然后单击“ 成员选项卡。

    1. 选择该组的成员,单击“ 删除,单击“ ,然后单击“ 确定
  2. 重复步骤2,直到已删除DA组的所有成员。

Active Directory中保护域管理员的分步说明

  1. 服务器管理器中,单击“ 工具,然后单击“ 组策略管理
  2. 在控制台树中,依次展开“ <Forest> \ Domains \ <Domain>”“ 组策略对象(其中<Forest>是目录林的名称,而<Domain>是要在其中设置组策略的域的名称) )。
  3. 在控制台树中,右键单击“ 组策略对象,然后单击“ 新建

  1. “ 新建GPO”对话框中,键入<GPO名称>,然后单击“ 确定(其中GPO名称是该GPO的名称)。

  1. 在详细信息窗格中,右键单击“ <GPO名称>”,然后单击“ 编辑
  2. 导航到“ 计算机配置\策略\ Windows设置\安全设置\本地策略,然后单击“ 用户权限分配

  1. 通过执行以下操作,配置用户权限以防止Domain Admins组的成员通过网络访问成员服务器和工作站:
    1. 双击拒绝从网络访问此计算机然后选择“ 定义这些策略设置
    2. 单击添加用户或组,然后单击浏览
    3. 键入域管理员,单击检查名称,然后单击确定

    1. 单击确定,并确定一次。
  2. 通过执行以下操作,配置用户权限以防止DA组的成员作为批处理作业登录:
    1. 双击拒绝作为批处理作业登录然后选择“ 定义这些策略设置
    2. 单击添加用户或组,然后单击浏览
    3. 键入域管理员,单击检查名称,然后单击确定

    1. 单击确定,并确定一次。
  2. 通过执行以下操作,配置用户权限以防止DA组的成员作为服务登录:
    1. 双击拒绝作为服务登录然后选择“ 定义这些策略设置
    2. 单击添加用户或组,然后单击浏览
    3. 键入域管理员,单击检查名称,然后单击确定

    1. 单击确定,并确定一次。
  2. 通过执行以下操作,配置用户权限以防止Domain Admins组的成员本地登录到成员服务器和工作站:
    1. 双击拒绝本地登录然后选择“ 定义这些策略设置
    2. 单击添加用户或组,然后单击浏览
    3. 键入域管理员,单击检查名称,然后单击确定

    1. 单击确定,并确定一次。
  2. 通过执行以下操作,配置用户权限以防止Domain Admins组的成员通过远程桌面服务访问成员服务器和工作站:
    1. 双击拒绝通过远程桌面服务登录然后选择“ 定义这些策略设置
    2. 单击添加用户或组,然后单击浏览
    3. 键入域管理员,单击检查名称,然后单击确定

    1. 单击确定,并确定一次。
  2. 要退出组策略管理编辑器,请单击“ 文件,然后单击“ 退出
  3. 在组策略管理中,通过执行以下操作将GPO链接到成员服务器和工作站OU
    1. 导航到<Forest> \ Domains \ <Domain>(其中<Forest>是目录林的名称,而<Domain>是要在其中设置组策略的域的名称)。
    2. 右键单击将应用GPOOU,然后单击链接现有GPO

    1. 选择刚刚创建的GPO,然后单击“ 确定

    1. 创建指向包含工作站的所有其他OU的链接。
    2. 创建指向包含成员服务器的所有其他OU的链接。

 重要

如果使用跳转服务器来管理域控制器和Active Directory,请确保跳转服务器位于此GPO未链接到的OU中。

验证步骤

验证拒绝从网络访问此计算机” GPO设置

从不受GPO更改影响的任何成员服务器或工作站(例如跳转服务器),尝试通过受GPO更改影响的网络访问成员服务器或工作站。要验证GPO设置,请尝试使用NET USE命令映射系统驱动器。

  1. 使用属于Domain Admins组成员的帐户在本地登录。
  2. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时,单击搜索
  3. “ 搜索框中,键入命令提示符,右键单击“ 命令提示符,然后单击以管理员身份运行以打开提升权限的命令提示符。
  4. 当提示您批准立面时,点击

  1. “ 命令提示符窗口中,键入net use \\ <服务器名称> \ c $,其中<服务器名称>是您尝试通过网络访问的成员服务器或工作站的名称。
  2. 以下屏幕快照显示了应该出现的错误消息。

验证拒绝以批处理身份登录” GPO设置

从受GPO更改影响的任何成员服务器或工作站,本地登录。

创建一个批处理文件

  1. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时,单击搜索
  2. 搜索框中,键入记事本,然后单击记事本
  3. 记事本中,键入DIR C 
  4. 单击文件,然后单击另存为
  5. “ 文件字段中,键入<Filename> .bat(其中<Filename>是新批处理文件的名称)。

安排任务

  1. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时,单击搜索
  2. “ 搜索框中,键入“ 任务计划程序,然后单击“ 任务计划程序

 注意

在运行Windows 8的计算机上的“ 搜索框中,键入“ 计划任务,然后单击“ 计划任务

  1. “ 任务计划程序菜单栏中,单击操作,然后单击“ 创建任务
  2. “ 创建任务对话框中,键入<任务名称>(其中<任务名称>是新任务的名称)。
  3. 点击操作标签,然后点击新建
  4. “ 操作字段中,选择“ 启动程序
  5. “ 程序/脚本,单击“ 浏览,找到并选择在“ 创建批处理文件部分中创建的批处理文件,然后单击“ 打开
  6. 单击确定
  7. 单击常规选项卡。
  8. 安全选项下,点击更改用户或组
  9. 输入属于Domain Admins组成员的帐户的名称,单击Check Names,然后单击OK
  10. 选择运行(无论用户是否登录),然后选择不存储密码。该任务将只能访问本地计算机资源。
  11. 单击确定
  12. 应出现一个对话框,要求用户帐户凭据来运行任务。
  13. 输入凭据后,单击确定
  14. 将出现一个类似于以下对话框。

验证拒绝作为服务登录” GPO设置

  1. 从受GPO更改影响的任何成员服务器或工作站,本地登录。
  2. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时,单击搜索
  3. “ 搜索框中,键入services,然后单击Services
  4. 找到并双击“ 后台打印程序
  5. 单击登录选项卡。
  6. “ 以以下身份登录下,选择“ 此帐户选项。
  7. 单击浏览,键入Domain Admins组成员的帐户名称,单击检查名称,然后单击确定
  8. 密码确认密码下,输入所选帐户的密码,然后点击确定
  9. 再单击确定三次。
  10. 右键单击“ 后台打印程序,然后单击“ 重新启动
  11. 重新启动服务后,将出现类似于以下对话框。

将更改还原到打印机后台处理程序服务

  1. 从受GPO更改影响的任何成员服务器或工作站,本地登录。
  2. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时,单击搜索
  3. “ 搜索框中,键入services,然后单击Services
  4. 找到并双击“ 后台打印程序
  5. 单击登录选项卡。
  6. “ 登录身份,选择“ 本地系统帐户,然后单击“ 确定

验证拒绝本地登录” GPO设置

  1. 在受GPO更改影响的任何成员服务器或工作站上,尝试使用作为Domain Admins组成员的帐户本地登录。将出现一个类似于以下对话框。

验证拒绝通过远程桌面服务登录” GPO设置

  1. 用鼠标将指针移到屏幕的右上角或右下角。当出现超级按钮栏时,单击搜索
  2. “ 搜索框中,键入“ 远程桌面连接,然后单击“ 远程桌面连接
  3. “ 计算机字段中,输入要连接的计算机的名称,然后单击“ 连接。(您也可以键入IP地址而不是计算机名称。)
  4. 出现提示时,请为Domain Admins组成员的帐户提供凭据。
  5. 将出现一个类似于以下对话框。

 

allway2
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ADReportingTools:一PowerShell命令,用于从Active Directory收集信息并创建报告。 依靠Microsoft的Active Directory模块
04-12
ADReporting工具 此模块包含PowerShell工具的集合,可用于生成报告并收集有关Active Directory的信息。 其许多命令都需要ActiveDirectory模块,您可以通过在Windows 10上安装Active Directory的来获得。 Get-WindowsCapability - Online - Name RSAT.Active * | Add-WindowsCapability - online 假设您将使用Windows 10桌面上的管理员凭据运行这些命令。 您不需要控制台访问控制器。 尽管某些模块命令将使用WSMAN上的PowerShell远程处理来收集信息。 这些命令旨在用于本地Active Directory基础结构,而不适用于Azure的任何内容。 安装 该模块在PowerShell库可用。 安装Active Directo
Crack-O-Matic:使用弱密码在Active Directory查找并通知用户
03-21
裂纹奥马蒂奇 使用弱密码在Active Directory查找并通知用户。 特征: 基于Linux的 基于Flask的网络应用 混蛋或约翰饼干 自动电子邮件 图形报告 隐私保护 以获取更多信息。 测验 如果您是开发人员并想运行测试,则需要编辑tests/.env并根据您的环境定义以下变量: JOHN_PATH (至john二进制文件的路径) HASHCAT_PATH ( hashcat二进制文件的路径) DOMAIN (测试的FQDN) DOMAINUSER (其管理员之一的名称) DOMAINPASS (管理员密码) HOST (测试控制器的FQDN) 如果没有测试,则可以使用tests/docker docker-compose run --service-ports dc compose文件运行Samba DC( docker-compose run -
AD管理员手册
02-27
第二章 AD的安装和卸载 8 2.1 安装WIN2003 AD 8 2.2 确认AD的安装 15 2.2.1 默认容器 15 2.2.2 Active Directory 数据库 16 2.2.3 根验证 16 2.2.4 DNS 17 2.3 自动卸载WIN2003 AD 17 2.4 手动卸载WIN2003 AD 18 第三章 基本配置 23 3.1 划分OU 23 3.2 站点管理 26 3.3 建立间信任 27 3.4 防病毒软件排除 28 3.5客户端计算机加入 30 第四章 备份与恢复 32
DeathStar:使用Empire(https://github.comBC-SECURITYEmpire)RESTful API在Active Directory环境使用一些最常见的攻击性TTP自动获取和/或企业管理员权限
02-06
死亡之星 DeathStar是一个Python脚本,它使用RESTful API在Active Directory环境使用一些最常见的攻击性TTP自动获得和/或企业管理员权限。 赞助商 目录 动机 创建此行为的主要动机是演示如何将许多常用的Active Directory错误配置链接在一起,以自动方式(类似于蠕虫)获得管理员级别的特权。 虽然肯定还有很多事情可以利用(包括服务器端漏洞,例如MS17-010),但DeathStar主要致力于利用配置错误/漏洞,这些错误极有可能导致任何类型的系统/网络稳定性问题。 0.2.0版是对原始版本的完整重写,实现了一个(还有许多),如果需要,任何
domain admin管理员
weixin_33739523的博客
03-25 2495
当计算机加入到后,默认将"Domain Admins"赋予了本地系统管理员的权限。也就是说,在计算机添加到,成为的成员主机的过程,系统将会自动把"Domain Admins"添加到本地的Administrators。因此,只要是Domain Admins的成员均可访问本地计算机,而且具备"完全控制"的权限。为了加强计算机的安全,对于敏感的计算机,建议将Domain Admins...
AD控制器默认账户Domain Admins
jekc2008的专栏
08-25 1402
AD 默认管理账户
一篇看懂工作环境!
qq_61635499的博客
09-13 586
虽然"System"账户是本地计算机上的特殊账户,而机器账户是环境的账户,但在某些情况下,例如当本地计算机需要访问资源时,"System"账户可能会充当机器账户的角色。管理员( Domain-Admins) 指定的管理员,拥有完整的管理员权限。不可传递:如果A和B之间的信任是不可传递的,或者B和C之间的信任是不可传递的, 那么A和C之间不会自动创建了信任关系。可传递:如果A和B之间的信任是可传递的,B和C之间的信任也是可传递的,那么A和C之 间就自动创建了信任关系。
网络管理员必知的DOmain)知识:详解部署与操作
weixin_43263566的博客
11-08 7850
DOmain
Builtin/administrators 与 Domain Admins 用户的来历与区别
Qiyeye的专栏
05-10 4716
<br /> <br />什么是builtin/administrators用户? <br />builtin/administrators用户是在你安装Windows的时候默认创建的. 这个用户对于这台计算机有完全的, 没有任何限制的权限. 默认情况下, 唯一属于这个用户的用户是 Administrator。<br /> <br />什么是domain admins用户? <br />Domain Administrators 用户只在Windows的Domain里出现. 这个用户对整个do
渗透基础知识(四)之
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-04 1414
内,使用的概念管理用户。当为设置权限时,内所有的用户都会自动设置权限,因此就不需要单独为某个用户设置权限了。账户也都有一个唯一的安全标识符(security identifier,SID)。
通过ldap无法从Windows Server 2012 vbscript读取管理员的成员
04-06
尝试通过vbscript读取管理员成员,但无法读取。 在用户服务器上引发错误。 对象不是集合,而是在我的本地测试Windows Server 2012工作:请提出任何建议:使用以下脚本我尝试过的操作:Option Explicit'Get all...
domain admins和enterprise admin区别
boy_hxm的专栏
03-01 2624
Enterprise Admins group is a group that appears only in the forest root domain controller and members of this group have full administrative control on all domains that are in your forest. Domain Admins group is a group that is present in each domain. Mem
Active Directory(活动目录) & Domain
热门推荐
田攀的日志
06-16 1万+
Active Directory(活动目录)是微软Windows Server,负责架构大型网路环境的集式目录管理服务(Directory Services),Windows 2000 Server开始内建于Windows Server产品,它处理了在的网路物件,物件可以是计算机,用户,群织单元(OU),树系等等,只要是在Active Directory结构定义档(schema
华为云云耀云服务器L实例评测|搭建Domain Admin环境监控公司网站的SSL证书,实现到期提醒
最新发布
彭世瑜的博客
09-17 351
gunicorn,“Green Unicorn”是用于UNIX的Python WSGI HTTP服务器,可以用它作为domain-admin的服务器。通过公网IP就可以访问,输入默认的账号密码登录(账号:admin / 密码:123456),添加需要监控的名即可。用于解决,不同业务名SSL证书,申请自不同的平台,到期后不能及时收到通知,导致线上访问异常,被老板责骂的问题。首先,遇到问题先别慌,看报错日志,根据日志就可以排查问题,进而对症下药,有效解决问题。按钮,选择适合自己的支付方式,我实际支付。
Builtin\administrators 与 Builtin\Domain Admins 用户的来历与区别
guoxiaoye的专栏
01-28 2055
 Builtin\administrators 是安装完系统之后创建的,加到此用户的用户对本机拥有所有权限,完全不受限制。默认情况下, 唯一属于这个用户的用户是 Administrator。 Builtin\Domain Admins 用户属于Windows Domain. 这个用户对整个domain的机器都拥有完全的, 没有任何限制的权限, 这个账户可以登录的任何一台机器.
sqlserver2000给账户授予所有的权限_内网渗透 | 内权限解读
weixin_39611413的博客
12-04 438
内权限解读目录本地全局通用A-G-DL-P策略内置几个比较重要的本地几个比较重要的全局、通用的权限本地用户访问单资源(访问同一个)可以从任何添加用户账户、通用和全局,但只能在其所在内指派权限。本地不能嵌套于其他。它主要是用于授予位于本资源的访问权限。全局用户访问多资源(必须是一个里面的用户)只能在创建该全局添加用户和全局...
从本地管理员删除管理员
allway2的博客
01-15 1702
在对我的一位同事的计算机上的问题进行故障排除时,我发现无法使用PowerShell或WMI与它进行远程通信,出现“访问被拒绝”错误。当我问他这个问题时,他说他从本地Administrators删除了Domain Admins。我认为这似乎是一件很奇怪的事情,他坚持要求许多管理员这样做。 这感觉...对我来说是错的。您如何看待,您的经历如何? 回复32 哈瓦那罗 Brian_NogaSep 3,...
Builtin\administrators 与 Domain Admins 用户的来历与区别
weixin_33985679的博客
03-09 436
什么是builtin\administrators用户? ===================== builtin\administrators用户是在你安装Windows的时候默认创建的. 这个用户对于这台计算机有完全的, 没有任何限制的权限. 默认情况下, 唯一属于这个用户的用户是 Administrator   什么是domain admins用户? =============...
部署与管理active directory服务环境
03-16
部署和管理Active Directory服务环境需要以下步骤: 1. 确定名和控制器的名称:在部署Active Directory服务之前,需要确定名和控制器的名称。名应该是唯一的,并且不能与其他名重复。 2. 安装Active Directory服务:在Windows Server操作系统上,可以通过“服务器管理器”安装Active Directory服务。安装过程需要设置名、控制器名称、管理员密码等信息。 3. 配置控制器:安装完成后,需要配置控制器的各项设置,包括安全设置、网络设置、DNS设置等。 4. 添加用户和计算机:在Active Directory服务,可以添加用户和计算机,并设置其权限和访问控制。 5. 管理控制器:在运行过程,需要对控制器进行管理和维护,包括备份和恢复、监控和优化等。 总之,部署和管理Active Directory服务环境需要一定的技术和经验,需要认真规划和执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值