限制Domain Admin登录非域控服务器和用户计算机

已于 2023-11-16 10:21:54 修改
阅读量665 收藏 1
点赞数
分类专栏: # Windows 文章标签: 服务器 运维 GPO domain domain admin
于 2023-11-16 10:18:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37813152/article/details/134433574
版权

限制Domain Admin管理员使用敏感管理员帐户(域或林中管理员组、域管理员组和企业管理员组中的成员帐户)登录到信任度较低的服务器和用户端计算机。 此限制可防止管理员通过登录到信任度较低的计算机来无意中增加凭据被盗的风险

建议采用的策略

建议使用以下策略限制对信任度较低的服务器和用户计算机的登录访问:

  • 最低:限制“域管理员”对服务器和用户计算机具有登录访问权限。 在开始此过程之前,请确定域中包含工作站和服务器的所有 OU。 OU 中未标识的任何计算机都不会限制具有敏感帐户的管理员登录它们。

  • 更好:限制“域管理员”登录到非域控制器服务器和用户计算机。

  • 理想:除了“域管理员”之外,还限制“服务器管理员”登录到用户计算机。

从限制域管理员登录用户计算机

限制域管理员登录用户计算机方法参考如下:

  1. 以域管理员身份打开组策略管理控制台 (GPMC)。

  2. 打开“组策略管理”,展开“<林>\域<domain>”。

  3. 右键单击“组策略对象”并选择“新建”。
    在这里插入图片描述

  4. 在“新建 GPO”窗口中,命名限制管理员登录到工作站的 GPO,然后选择“确定”。在这里插入图片描述

  5. 右键单击“新建 GPO”,然后选择“编辑”。

  6. 配置用户权限以拒绝域管理员在本地登录。

  7. 选择“计算机配置”>“策略”>“Windows 设置”>“本地策略”,选择“用户权限分配”,然后执行以下操作:

  • 鼠标双击“拒绝本地登录”,然后选择“定义这些策略设置”。
  • 选择“添加用户或组”,选择“浏览”,键入“企业管理员(Enterprise Admins)”,然后选择“确定”。 选择“添加用户或组”,选择“浏览”,键入“域管理员(Doamin Admins)”,然后选择“确定”。
    在这里插入图片描述

可以选择添加任何Domain群组,其中包含你希望限制其登录到工作站的服务器管理员。

  • 最后选择“确定”即可完成配置。
  1. 将 GPO 链接到测试用的计算机OU。 转到 <林>\域<domain>\OU 路径,然后执行以下操作:
  • 右键单击工作站 OU,然后选择“链接现有 GPO”。 Screenshot of the Group Policy Management console window, where you right-click a Workstations item and select
  • 选择你刚刚创建的 GPO,然后选择“确定”。
    在这里插入图片描述
  1. 在测试 OU 的计算机用户上测试域管理员是否可以登录,并测试和解决该限制策略导致的任何其他问题。
  2. 测试OU测试完成后,再用相同的方法导入其他有需要的OU。

管理域控制器服务器,可以指定一台没有Internet权限,安装EDR\XDR等安全软件,风险系数极低的计算机专门用于管理。

限制“域管理员”登录到非域控制器服务器和用户计算机和限制“服务器管理员”登录到用户计算机 的方法亦参考以上。

推荐阅读

Par@ish
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OpenStack Mitaka 版本中的 domainadmin详解
01-10
OpenStack 的 Keystone V3 中引入了 Domain 的概念。... Group – 一个domain 中的部分用户的集合 Project – IT基础设施资源的集合,比如虚机,卷,镜像等 Role – 角色,表示一个 user 对一个 projec
AD域提升为域控服务器报ADPrep执行失败处理.docx
04-24
以上就是处理“AD域提升为域控服务器报ADPrep执行失败”问题的一系列步骤和策略。在执行这些步骤时,保持耐心,仔细检查每个环节,通常都可以找到问题的根源并解决。在进行任何重大操作前,记得做好备份,以防万一。
一篇看懂工作组与域环境!
最新发布
qq_61635499的博客
09-13 808
虽然"System"账户是本地计算机上的特殊账户,而机器账户是域环境中的账户,但在某些情况下,例如当本地计算机需要访问域资源时,"System"账户可能会充当机器账户的角色。域管理员组( Domain-Admins) 指定的域管理员,拥有完整的管理员权限。不可传递:如果A域和B域之间的信任是不可传递的,或者B域和C域之间的信任是不可传递的, 那么A域和C域之间不会自动创建了信任关系。可传递:如果A域和B域之间的信任是可传递的,B域和C域之间的信任也是可传递的,那么A域和C域之 间就自动创建了信任关系。
如何禁止其他用户用户登录计算机
理想很丰满,现实很骨感!
10-31 5667
http://blog.sina.com.cn/s/blog_6285a01d0100rm1j.html gpedit.msc 白名单法: “本地计算机”策略 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权利指派 -> 在本地登录 去掉里面所有的用户,只填加你的用户帐号(注:帐号可以是域用户帐号) 这样,这台电脑就只有填加的这个用户登录
域策略(1)——限制用户允许登录的设备和时间
只为苦逼的运维同胞在运维的道理上少踩坑。
12-24 6616
情况说明 在企业中域用户可以登录任意一台域计算机其实是很危险的事情,从安全角度应该对每个用户进行登录限制限制只能登录自己的计算机。 具体实现步骤 (一)限制用户允许登录的设备 未做限制前,“马云”用户可以登录任意主机; 管理员登录域控服务器,找到用户所在OU,右键用户——属性; 切换“账户”标签页面,选择“登录到” 输入限制用户允许登录计算机名——确定——应用——确定; 当用户在尝试登录计算机PC-TAOBAO时,系统已经限制登录; 在计算机名为PC-TAOBAO
AD控制器默认账户Domain Admins
jekc2008的专栏
08-25 1468
AD 默认管理账户
网络管理员必知的域(DOmain)知识:详解部署与操作
weixin_43263566的博客
11-08 9884
域(DOmain
Builtin/administrators 与 Domain Admins 用户组的来历与区别
Qiyeye的专栏
05-10 4927
<br /> <br />什么是builtin/administrators用户组? <br />builtin/administrators用户组是在你安装Windows的时候默认创建的. 这个用户组对于这台计算机有完全的, 没有任何限制的权限. 默认情况下, 唯一属于这个用户组的用户Administrator。<br /> <br />什么是domain admins用户组? <br />Domain Administrators 用户组只在Windows的Domain里出现. 这个用户组对整个do
域控服务器备份和恢复.doc
09-30
域控服务器,即域控制器(Domain Controller),在企业网络环境中扮演着至关重要的角色,它提供了DNS服务和AD(活动目录)服务。DNS负责域名解析,而AD则存储和管理网络资源的身份信息,如用户账户、组策略等。为了...
如何破解域控服务器管理员密码
02-23
在企业级网络环境中,域控制器(Domain Controller,简称DC)是管理用户计算机和其他资源的核心组件之一。域控制器通常存储着整个网络的重要信息,如用户账户、密码策略、组策略等。一旦忘记域控管理员密码,可能...
域渗透基础知识(四)之域组
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-04 1598
在域内,使用组的概念管理用户。当为组设置权限时,组内所有的用户都会自动设置权限,因此就不需要单独为某个用户设置权限了。域组账户也都有一个唯一的安全标识符(security identifier,SID)。
保护Active Directory中的域管理员组
allway2的博客
01-15 1187
附录F:保护Active Directory中的域管理员组 2016年8月31日 8分钟阅读 适用于:Windows Server 2008,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012 附录F:保护Active Directory中的域管理员组 与企业管理员(EA)组一样,仅在构建或灾难恢复方案中...
domain-admin域名监控的使用(二)
u013901725的博客
08-21 1087
domain-admin使用
lync 2010启用用户访问权限不够!
dz45693的专栏
08-31 3721
转载原始出处:http://struggle.blog.51cto.com/333093/473540 部署了Lync Server 2010,正常使用Lync通信,得先启用用户,顺利的将测试域用户启用后,发现启用域管理员administrator时报错:Active Directory operation failed on “xx.xxx.com” you cannot retry this
domain admins和enterprise admin区别
boy_hxm的专栏
03-01 2715
Enterprise Admins group is a group that appears only in the forest root domain controller and members of this group have full administrative control on all domains that are in your forest. Domain Admins group is a group that is present in each domain. Mem
设置计算机只允许指定用户登录
运维日记
11-21 8865
问题描述:某同事近期发现计算机经常被其他用户通过其他域账号登录,丢失许多重要文件,要求设置该计算机只能通过他个人的域账号以及管理员账号登录。 解决方案: 可以通过设置本地组策略的方式来实现限制允许登录计算机用户: 1、运行“gpedit.msc”,在 计算机配置——WINDOWS设置——安全设置——本地策略——用户权限分配——允许本地登录; 2、删除Guest和Users,然后添加允许登录的...
3种用组策略将域帐号加入本地管理员组的方法
weixin_34375233的博客
07-22 391
采用下列3种方法之一即可实现:1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的...
组策略   之 统一修改域中计算机的本地管理员账户和密码和受限制
weixin_33747129的博客
10-13 1070
目的:不能通过本地管理员账户登陆计算机一、修改管理员名称 建立一个GPO,在计算机策略---windows设置----安全设置-----本地策略-----安全选项------找到“账户:重命名系统管理员账户”------修改为想要的名称。二、修改管理员密码在GPO中找到,计算机策略---windows设置----脚本(启动/关机)---选择“启动”----添加相应的脚本文件...
sqlserver2000给账户授予所有的权限_内网渗透 | 域内权限解读
weixin_39611413的博客
12-04 457
域内权限解读目录域本地组全局组通用组A-G-DL-P策略内置组几个比较重要的域本地组几个比较重要的全局组、通用组的权限域本地组多域用户访问单域资源(访问同一个域)可以从任何域添加用户账户、通用组和全局组,但只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。全局组单域用户访问多域资源(必须是一个域里面的用户)只能在创建该全局组的域中添加用户和全局...
Windows services2019在服务器上搭建主备域控服务器的具体步骤
05-24
以下是在 Windows Server 2019 上搭建主备域控服务器的具体步骤: 1. 安装 Windows Server 2019 操作系统并进行基本的系统配置。 2. 在服务器上安装 Active Directory Domain Services (AD DS) 角色和管理工具。可以通过 Server Manager 或 PowerShell 安装。 3. 在安装 AD DS 角色时,选择 "Active Directory 域服务" 和 "DNS 服务器" 选项,然后按照向导完成安装。 4. 安装完毕后,打开 "Active Directory 用户计算机" 管理工具,创建一个新的域。 5. 在 "Active Directory 用户计算机" 工具中创建新的用户、组和计算机帐户。 6. 安装并配置 DNS 服务器,确保域名解析正确。 7. 在主域控服务器上配置 DHCP 服务,为网络上的设备分配 IP 地址。 8. 在备份域控服务器上安装 AD DS 角色,并将其加入到域中。 9. 在备份域控服务器上创建和配置 DNS 服务器,确保可以解析域名。 10. 在备份域控服务器上配置 DHCP 服务,确保网络上的设备可以获得 IP 地址分配。 11. 在主域控服务器上配置 Active Directory Replication,确保主备域控服务器之间的数据同步。 12. 在备份域控服务器上配置 Active Directory Replication,确保主备域控服务器之间的数据同步。 13. 在主域控服务器和备份域控服务器上配置防火墙,确保域控制器之间的通信可以正常进行。 14. 进行测试,确保主备域控服务器之间的故障转移和数据同步工作正常。 以上是在 Windows Server 2019 上搭建主备域控服务器的大致步骤,具体操作可能因实际情况而异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Par@ish

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值