限制Domain Admin管理员使用敏感管理员帐户(域或林中管理员组、域管理员组和企业管理员组中的成员帐户)登录到信任度较低的服务器和用户端计算机。 此限制可防止管理员通过登录到信任度较低的计算机来无意中增加凭据被盗的风险。
建议采用的策略
建议使用以下策略限制对信任度较低的服务器和用户计算机的登录访问:
-
最低:限制"域管理员"对服务器和用户计算机具有登录访问权限。 在开始此过程之前,请确定域中包含工作站和服务器的所有 OU。 OU 中未标识的任何计算机都不会限制具有敏感帐户的管理员登录它们。
-
更好:限制"域管理员"登录到非域控制器服务器和用户计算机。
-
理想:除了"域管理员"之外,还限制"服务器管理员"登录到用户计算机。
从限制域管理员登录用户计算机
限制域管理员登录用户计算机方法参考如下:
-
以域管理员身份打开组策略管理控制台 (GPMC)。
-
打开"组策略管理",展开"<林>\域<domain>"。
-
右键单击"组策略对象"并选择"新建"。
-
在"新建 GPO"窗口中,命名限制管理员登录到工作站的 GPO,然后选择"确定"。
-
右键单击"新建 GPO",然后选择"编辑"。
-
配置用户权限以拒绝域管理员在本地登录。
-
选择"计算机配置">"策略">"Windows 设置">"本地策略",选择"用户权限分配",然后执行以下操作:
- 鼠标双击"拒绝本地登录",然后选择"定义这些策略设置"。
- 选择"添加用户或组",选择"浏览",键入"企业管理员(Enterprise Admins)",然后选择"确定"。 选择"添加用户或组",选择"浏览",键入"域管理员(Doamin Admins)",然后选择"确定"。
可以选择添加任何Domain群组,其中包含你希望限制其登录到工作站的服务器管理员。
- 最后选择"确定"即可完成配置。
- 将 GPO 链接到测试用的计算机OU。 转到 <林>\域<domain>\OU 路径,然后执行以下操作:
- 右键单击工作站 OU,然后选择"链接现有 GPO"。
- 选择你刚刚创建的 GPO,然后选择"确定"。
- 在测试 OU 的计算机用户上测试域管理员是否可以登录,并测试和解决该限制策略导致的任何其他问题。
- 测试OU测试完成后,再用相同的方法导入其他有需要的OU。
管理域控制器服务器,可以指定一台没有Internet权限,安装EDR\XDR等安全软件,风险系数极低的计算机专门用于管理。
限制"域管理员"登录到非域控制器服务器和用户计算机和限制"服务器管理员"登录到用户计算机 的方法亦参考以上。