Dela via

Bilaga I: Skapa hanteringskonton för skyddade konton och grupper i Active Directory

En av utmaningarna med att implementera en Active Directory-modell som inte förlitar sig på permanent medlemskap i mycket privilegierade grupper är att det måste finnas en mekanism för att fylla i dessa grupper när tillfälligt medlemskap i grupperna krävs. Vissa privilegierade identitetshanteringslösningar kräver att programvarans tjänstkonton beviljas permanent medlemskap i grupper som DA eller Administratörer i varje domän i skogen. Det är dock tekniskt sett inte nödvändigt för PIM-lösningar (Privileged Identity Management) att köra sina tjänster i sådana mycket privilegierade kontexter.

Den här bilagan innehåller information som du kan använda för internt implementerade pim-lösningar eller PIM-lösningar från tredje part för att skapa konton som har begränsade privilegier och kan kontrolleras strikt, men som kan användas för att fylla i privilegierade grupper i Active Directory när tillfällig höjning krävs. Om du implementerar PIM som en intern lösning kan dessa konton användas av administrativ personal för att utföra den tillfälliga grupppopulationen, och om du implementerar PIM via programvara från tredje part kanske du kan anpassa dessa konton så att de fungerar som tjänstkonton.

Note

De procedurer som beskrivs i den här bilagan ger en metod för hantering av högprivilegierade grupper i Active Directory. Du kan anpassa dessa procedurer efter dina behov, lägga till ytterligare begränsningar eller utelämna några av de begränsningar som beskrivs här.

Skapa hanteringskonton för skyddade konton och grupper i Active Directory

Att skapa konton som kan användas för att hantera medlemskap i privilegierade grupper utan att kräva att hanteringskontona beviljas orimliga rättigheter och behörigheter består av fyra allmänna aktiviteter som beskrivs i de stegvisa instruktionerna som följer:

  1. Först bör du skapa en grupp som ska hantera kontona, eftersom dessa konton ska hanteras av en begränsad uppsättning betrodda användare. Om du inte redan har en organisationsenhetsstruktur som gör det enklare att skilja privilegierade och skyddade konton och system från den allmänna populationen i domänen bör du skapa en. Även om specifika instruktioner inte finns i den här bilagan visar skärmbilder ett exempel på en sådan organisationsenhetshierarki.

  2. Skapa hanteringskontona. Dessa konton bör skapas som "vanliga" användarkonton och beviljas inga användarrättigheter utöver de som redan har beviljats användare som standard.

  3. Implementera begränsningar för hanteringskonton som gör dem endast användbara för det särskilda ändamål som de skapades för, förutom att styra vem som kan aktivera och använda kontona (den grupp som du skapade i det första steget).

  4. Konfigurera behörigheter för AdminSDHolder-objektet i varje domän så att hanteringskontona kan ändra medlemskapet för de privilegierade grupperna i domänen.

Du bör noggrant testa alla dessa procedurer och ändra dem efter behov för din miljö innan du implementerar dem i en produktionsmiljö. Du bör också kontrollera att alla inställningar fungerar som förväntat (vissa testprocedurer finns i den här bilagan) och du bör testa ett haveriberedskapsscenario där hanteringskontona inte är tillgängliga för att användas för att fylla i skyddade grupper i återställningssyfte. Mer information om hur du säkerhetskopierar och återställer Active Directory finns i steg-för-steg-guiden för AD DS-säkerhetskopiering och återställning.

Note

Genom att implementera stegen som beskrivs i den här bilagan skapar du konton som kommer att kunna hantera medlemskapet för alla skyddade grupper i varje domän, inte bara de Active Directory-grupper med högsta behörighet, som Enterprise Admins, Domain Admins och Backup Operators. Mer information om skyddade grupper i Active Directory finns i Bilaga C: Skyddade konton och grupper i Active Directory.

Stegvisa instruktioner för att skapa hanteringskonton för skyddade grupper

Skapa en grupp för att aktivera och inaktivera hanteringskonton

Hanteringskonton bör få sina lösenord återställda vid varje användning och bör inaktiveras när aktiviteter som kräver dem är slutförda. Även om du också kan överväga att implementera krav på smartkortsinloggning för dessa konton är det en valfri konfiguration och dessa instruktioner förutsätter att hanteringskontona konfigureras med ett användarnamn och ett långt, komplext lösenord som minsta kontroller. I det här steget skapar du en grupp som har behörighet att återställa lösenord på hanteringskontona och aktivera och inaktivera kontona.

Utför följande steg för att skapa en grupp för att aktivera och inaktivera hanteringskonton:

  1. I organisationsenhetsstrukturen där du ska inhysa hanteringskontona högerklickar du på organisationsenheten där du vill skapa gruppen, klickar på Ny och klickar på Grupp.

    Skärmbild som visar hur du väljer menyalternativet Grupp.

  2. I dialogrutan Nytt objekt – grupp anger du ett namn för gruppen. Om du planerar att använda den här gruppen för att "aktivera" alla hanteringskonton i skogen gör du den till en universell säkerhetsgrupp. Om du har en endomänskog eller om du planerar att skapa en grupp i varje domän kan du skapa en global säkerhetsgrupp. Klicka på OK för att skapa gruppen.

    Skärmbild som visar var du anger gruppnamnet i dialogrutan Nytt objekt – grupp.

  3. Högerklicka på gruppen du nyss skapade, klicka på Egenskaper och klicka på fliken Objekt . I dialogrutan Objektegenskap för gruppen väljer du Skydda objekt från oavsiktlig borttagning, vilket inte bara hindrar andra auktoriserade användare från att ta bort gruppen, utan också från att flytta det till en annan organisationsenhet om inte attributet först avmarkeras.

    Skärmbild som visar fliken Objekt.

    Note

    Om du redan har konfigurerat behörigheter för gruppens överordnade organisationsenheter för att begränsa administrationen till en begränsad uppsättning användare kanske du inte behöver utföra följande steg. De tillhandahålls här så att även om du ännu inte har implementerat begränsad administrativ kontroll över organisationsenhetens struktur där du har skapat den här gruppen, kan du skydda gruppen mot ändringar av obehöriga användare.

  4. Klicka på fliken Medlemmar och lägg till konton för medlemmar i ditt team som ansvarar för att aktivera hanteringskonton eller fylla i skyddade grupper vid behov.

    Skärmbild som visar kontona på fliken Medlemmar.

  5. Om du inte redan har gjort det klickar du på Visa i Active Directory-konsolen Användare och datorer och väljer Avancerade funktioner. Högerklicka på gruppen du nyss skapade, klicka på Egenskaper och klicka på fliken Säkerhet . På fliken Säkerhet klickar du på Avancerat.

    Skärmbild som visar knappen Avancerat på fliken Säkerhet.

  6. I dialogrutan Avancerade säkerhetsinställningar för [Grupp] klickar du på Inaktivera arv. När du uppmanas till det klickar du på Konvertera ärvda behörigheter till explicita behörigheter för det här objektet och klickar på OK för att återgå till gruppens dialogruta Säkerhet .

    Skärmbild som visar var du väljer Konvertera ärvda behörigheter till explicita behörigheter för det här objektalternativet.

  7. På fliken Säkerhet tar du bort grupper som inte ska ha behörighet att komma åt den här gruppen. Om du till exempel inte vill att autentiserade användare ska kunna läsa gruppens namn och allmänna egenskaper kan du ta bort ace-objektet. Du kan också ta bort ACE:er, till exempel sådana för kontooperatorer och för kompatibel åtkomst före Windows 2000 Server. Du bör dock lämna en minsta uppsättning objektbehörigheter på plats. Lämna följande ACE:er intakta:

    • SELF

    • SYSTEM

    • Domänadministratörer

    • Företagsadministratörer

    • Administrators

    • Åtkomstgrupp för Windows-auktorisering (om tillämpligt)

    • FÖRETAGSDOMÄNKONTROLLANTER

    Även om det kan verka kontraintuitivt att tillåta de högsta privilegierade grupperna i Active Directory att hantera den här gruppen, är målet med att implementera de här inställningarna inte att hindra medlemmar i dessa grupper från att göra auktoriserade ändringar. Målet är snarare att se till att auktoriserade ändringar lyckas när du har tillfälle att kräva mycket höga behörighetsnivåer. Det är av den anledningen som ändring av standardinställningar för privilegierade gruppers kapsling, rättigheter och behörigheter avråds i hela dokumentet. Genom att lämna standardstrukturerna intakta och tömma medlemskapet för de högsta behörighetsgrupperna i katalogen kan du skapa en säkrare miljö som fortfarande fungerar som förväntat.

    Skärmbild som visar avsnittet Behörigheter för autentiserade användare.

    Note

    Om du inte redan har konfigurerat granskningsprinciper för objekten i organisationsenhetsstrukturen där du skapade den här gruppen bör du konfigurera granskning för att logga ändringar i den här gruppen.

  8. Du har slutfört konfigurationen av gruppen som ska användas för att "checka ut" hanteringskonton när de behövs och "checka in" kontona när deras aktiviteter har slutförts.

Skapa hanteringskonton

Du bör skapa minst ett konto som ska användas för att hantera medlemskap i privilegierade grupper i din Active Directory-installation, och helst ett andra konto som ska fungera som en säkerhetskopia. Oavsett om du väljer att skapa hanteringskontona i en enda domän i skogen och bevilja dem hanteringsfunktioner för alla domäners skyddade grupper, eller om du väljer att implementera hanteringskonton i varje domän i skogen, är procedurerna i praktiken desamma.

Note

Stegen i det här dokumentet förutsätter att du ännu inte har implementerat rollbaserade åtkomstkontroller och privilegierad identitetshantering för Active Directory. Därför måste vissa procedurer utföras av en användare vars konto är medlem i gruppen Domänadministratörer för den aktuella domänen.

När du använder ett konto med DA-behörigheter kan du logga in på en domänkontrollant för att utföra konfigurationsaktiviteterna. Steg som inte kräver DA-privilegier kan utföras av mindre privilegierade konton som är inloggade på administrativa arbetsstationer. Skärmbilder som visar dialogrutor med kantlinjer i den ljusare blå färgen representerar aktiviteter som kan utföras på en domänkontrollant. Skärmbilder som visar dialogrutor i den mörkare blå färgen representerar aktiviteter som kan utföras på administrativa arbetsstationer med konton som har begränsad behörighet.

Utför följande steg för att skapa hanteringskontona:

  1. Logga in på en domänkontrollant med ett konto som är medlem i domänens DA-grupp.

  2. Starta Active Directory Users and Computers och navigera till den organisationsenhet där du kommer att skapa hanteringskontot.

  3. Högerklicka på organisationsenheten och klicka på Ny och välj Användare.

  4. I dialogrutan Nytt objekt – användare anger du önskad namngivningsinformation för kontot och klickar på Nästa.

    Skärmbild som visar var du anger namngivningsinformationen.

  5. Ange ett första lösenord för användarkontot, avmarkera Användaren måste ändra lösenord vid nästa inloggning, välj Användare kan inte ändra lösenord och Kontot är inaktiverat och klicka på Nästa.

    Skärmbild som visar var du anger det första lösenordet.

  6. Kontrollera att kontoinformationen är korrekt och klicka på Slutför.

  7. Högerklicka på det användarobjekt som du nyss skapade och klicka på Egenskaper.

  8. Klicka på fliken Konto .

  9. I fältet Kontoalternativ väljer du flaggan Konto är känsligt och kan inte delegeras , väljer det här kontot stöder Kerberos AES 128-bitarskryptering och/eller så stöder det här kontot Kerberos AES 256-krypteringsflaggan och klickar på OK.

    Skärmbild som visar de alternativ som du bör välja.

    Note

    Eftersom det här kontot, precis som andra konton, har en begränsad men kraftfull funktion bör kontot endast användas på säkra administrativa värdar. För alla säkra administrativa värdar i din miljö bör du överväga att implementera grupprincipinställningen Nätverkssäkerhet: Konfigurera krypteringstyper som tillåts för Kerberos så att endast de säkraste krypteringstyper som du kan implementera för säkra värdar tillåts.

    Även om implementering av säkrare krypteringstyper för värdarna inte minskar stöldattacker för autentiseringsuppgifter, så gör den lämpliga användningen och konfigurationen av de säkra värdarna det. Om du ställer in starkare krypteringstyper för värdar som endast används av privilegierade konton minskar du helt enkelt datorernas övergripande attackyta.

    Mer information om hur du konfigurerar krypteringstyper på system och konton finns i Windows-konfigurationer för Kerberos-krypteringstyp som stöds.

    De här inställningarna stöds endast på datorer som kör Windows Server 2012, Windows Server 2008 R2, Windows 8 eller Windows 7.

  10. På fliken Objekt väljer du Skydda objekt från oavsiktlig borttagning. Detta förhindrar inte bara att objektet tas bort (även av behöriga användare), utan förhindrar att det flyttas till en annan organisationsenhet i AD DS-hierarkin, såvida inte kryssrutan först avmarkeras av en användare med behörighet att ändra attributet.

    Skärmbild som visar alternativet Skydda objektet från oavsiktlig borttagning på fliken Objekt.

  11. Klicka på fliken Fjärrstyrning .

  12. Avmarkera flaggan Aktivera fjärrstyrning . Det bör aldrig vara nödvändigt för supportpersonal att ansluta till det här kontots sessioner för att implementera korrigeringar.

    Skärmbild som visar alternativet Aktivera fjärrstyrning avmarkerat.

    Note

    Varje objekt i Active Directory ska ha en utsedd IT-ägare och en utsedd företagsägare enligt beskrivningen i Planera för kompromiss. Om du spårar ägarskapet för AD DS-objekt i Active Directory (till skillnad från en extern databas) bör du ange lämplig ägarskapsinformation i objektets egenskaper.

    I det här fallet är företagsägaren sannolikt en IT-avdelning, och det finns inget förbud mot att företagare också är IT-ägare. Poängen med att etablera ägarskap för objekt är att du kan identifiera kontakter när ändringar behöver göras i objekten, kanske år från det att de först skapades.

  13. Klicka på fliken Organisation .

  14. Ange all information som krävs i dina AD DS-objektstandarder.

    Skärmbild som visar var du anger den information som krävs i dina AD DS-objektstandarder.

  15. Klicka på fliken Uppringning .

  16. I fältet Behörighet för nätverksåtkomst väljer du Neka åtkomst. Det här kontot ska aldrig behöva ansluta via en fjärranslutning.

    Skärmbild som visar alternativet Neka åtkomst.

    Note

    Det är osannolikt att det här kontot kommer att användas för att logga in på skrivskyddade domänkontrollanter (RODC) i din miljö. Men om omständigheterna skulle kräva att kontot loggar in på en rodc, bör du lägga till det här kontot i gruppen Nekad RODC-lösenordsreplikering så att dess lösenord inte cachelagras på RODC.

    Även om kontots lösenord ska återställas efter varje användning och kontot ska inaktiveras, har implementeringen av den här inställningen ingen skadlig effekt på kontot, och det kan hjälpa i situationer där en administratör glömmer att återställa kontots lösenord och inaktivera det.

  17. Klicka på fliken Medlem .

  18. Klicka på Lägg till.

  19. Skriv Gruppen Nekad RODC-lösenordsreplikering i dialogrutan Välj användare, Kontakter, Datorer och klicka på Kontrollera namn. När namnet på gruppen är understruket i objektväljaren klickar du på OK och kontrollerar att kontot nu är medlem i de två grupper som visas i följande skärmbild. Lägg inte till kontot i några skyddade grupper.

  20. Klicka på OK.

    Skärmbild som visar knappen OK.

  21. Klicka på fliken Säkerhet och klicka på Avancerat.

  22. I dialogrutan Avancerade säkerhetsinställningar klickar du på Inaktivera arv och kopierar ärvda behörigheter som explicita behörigheter och klickar på Lägg till.

    Skärmbild som visar dialogrutan Blockera ärvning.

  23. I dialogrutan Behörighetspost för [Konto] klickar du på Välj en huvudman och lägg till gruppen du skapade i föregående steg. Rulla längst ned i dialogrutan och klicka på Rensa alla för att ta bort alla standardbehörigheter.

    Skärmbild som visar knappen Rensa alla.

  24. Rulla längst upp i dialogrutan Behörighetspost. Kontrollera att listrutan Typ är inställd på Tillåt och välj Endast Det här objektet i listrutan Gäller för.

  25. I fältet Behörigheter väljer du Läs alla egenskaper, Läsbehörigheter och Återställ lösenord.

    Skärmbild som visar alternativen Läs alla egenskaper, Läs-behörigheter och Återställ lösenord.

  26. I fältet Egenskaper väljer du Read userAccountControl och Write userAccountControl.

  27. Klicka på OK, OK igen i dialogrutan Avancerade säkerhetsinställningar .

    Skärmbild som visar knappen OK i dialogrutan Avancerade säkerhetsinställningar.

    Note

    Attributet userAccountControl styr flera konfigurationsalternativ för konton. Du kan inte bevilja behörighet att bara ändra några av konfigurationsalternativen när du beviljar skrivbehörighet till attributet.

  28. I fältet Grupp eller användarnamn på fliken Säkerhet tar du bort alla grupper som inte ska tillåtas att komma åt eller hantera kontot. Ta inte bort några grupper som har konfigurerats med Neka ACEs, till exempel gruppen Alla och det självberäknade kontot (ACE angavs när användaren inte kan ändra lösenord flaggan aktiverades när kontot skapades. Ta inte heller bort den grupp som du nyss lade till, SYSTEM-kontot eller grupper som EA, DA, BA eller Windows Authorization Access Group.

    Skärmbild som visar avsnittet Grupp- eller användarnamn på fliken Säkerhet.

  29. Klicka på Avancerat och kontrollera att dialogrutan Avancerade säkerhetsinställningar ser ut ungefär som på följande skärmbild.

  30. Klicka på OK och OK igen för att stänga dialogrutan för kontots egenskap.

    Skärmbild som visar dialogrutan Avancerade säkerhetsinställningar.

  31. Installationen av det första hanteringskontot är nu klar. Du kommer att testa kontot i en senare procedur.

Skapa ytterligare hanteringskonton

Du kan skapa ytterligare hanteringskonton genom att upprepa föregående steg genom att kopiera det konto som du nyss skapade eller genom att skapa ett skript för att skapa konton med önskade konfigurationsinställningar. Observera dock att om du kopierar det konto som du nyss skapade kopieras inte många av de anpassade inställningarna och ACL:erna till det nya kontot och du måste upprepa de flesta konfigurationsstegen.

Du kan i stället skapa en grupp som du delegerar behörighet till för att fylla i och fylla i skyddade grupper, men du måste skydda gruppen och de konton som du placerar i den. Eftersom det bör finnas mycket få konton i din katalog som beviljas möjlighet att hantera medlemskap i skyddade grupper kan det vara enklast att skapa enskilda konton.

Oavsett hur du väljer att skapa en grupp där du placerar hanteringskontona bör du se till att varje konto skyddas enligt beskrivningen tidigare. Du bör också överväga att implementera GPO-begränsningar som liknar de som beskrivs i bilaga D: Skydda Built-In administratörskonton i Active Directory.

Rapportering av förvaltningskonton

Du bör konfigurera granskning på kontot för att logga minst alla skrivoperationer till kontot. På så sätt kan du inte bara identifiera lyckad aktivering av kontot och återställa dess lösenord under auktoriserad användning, utan även identifiera försök av obehöriga användare att manipulera kontot. Misslyckade skrivningar på kontot ska registreras i ditt SIEM-system (Security Information and Event Monitoring) (om tillämpligt) och bör utlösa aviseringar som meddelar den personal som ansvarar för att undersöka potentiella kompromisser.

SIEM-lösningar tar händelseinformation från berörda säkerhetskällor (till exempel händelseloggar, programdata, nätverksströmmar, produkter mot skadlig kod och intrångsidentifieringskällor), sorterar data och försöker göra intelligenta vyer och proaktiva åtgärder. Det finns många kommersiella SIEM-lösningar och många företag skapar privata implementeringar. En väl utformad och korrekt implementerad SIEM kan avsevärt förbättra funktionerna för säkerhetsövervakning och incidenthantering. Funktionerna och noggrannheten varierar dock enormt mellan olika lösningar. SIEM:er ligger utanför det här dokumentets omfattning, men de specifika händelserekommendationer som finns bör övervägas av alla SIEM-implementerare.

Mer information om rekommenderade inställningar för granskningskonfiguration för domänkontrollanter finns i Övervaka Active Directory för tecken på kompromiss. Domänkontrollantspecifika konfigurationsinställningar finns i Övervakning av Active Directory för tecken på kompromisser.

Aktivera hanteringskonton för att ändra medlemskap i skyddade grupper

I den här proceduren konfigurerar du behörigheter för domänens AdminSDHolder-objekt så att de nyligen skapade hanteringskontona kan ändra medlemskapet för skyddade grupper i domänen. Den här proceduren kan inte utföras via ett grafiskt användargränssnitt (GUI).

Enligt beskrivningen i bilaga C: Skyddade konton och grupper i Active Directory "kopieras" ACL:en på en domäns AdminSDHolder-objekt i praktiken till skyddade objekt när SDProp-aktiviteten körs. Skyddade grupper och konton ärver inte sina behörigheter från objektet AdminSDHolder. deras behörigheter anges uttryckligen så att de matchar dem i AdminSDHolder-objektet. När du ändrar behörigheter för objektet AdminSDHolder måste du därför ändra dem för attribut som är lämpliga för den typ av skyddat objekt som du riktar in dig på.

I det här fallet beviljar du de nyligen skapade hanteringskontona så att de kan läsa och skriva medlemsattributet på gruppobjekt. AdminSDHolder-objektet är dock inte ett gruppobjekt och gruppattribut exponeras inte i den grafiska ACL-redigeraren. Därför implementerar du behörighetsändringarna via kommandoradsverktyget Dsacls. Utför följande steg för att ge (inaktiverade) hanteringskonton behörighet att ändra medlemskap i skyddade grupper:

  1. Logga in på en domänkontrollant, helst domänkontrollanten som innehar PDC Emulator-rollen (PDCE), med autentiseringsuppgifterna för ett användarkonto som har blivit medlem i DA-gruppen i domänen.

    Skärmbild som visar var du anger autentiseringsuppgifterna för användarkontot.

  2. Öppna en upphöjd kommandotolk genom att högerklicka på Kommandotolken och klicka på Kör som administratör.

    Skärmbild som visar menyalternativet Kör som administratör.

  3. När du uppmanas att godkänna höjningen klickar du på Ja.

    Skärmbild som visar var du väljer Ja för att godkänna höjningen.

    Note

    Mer information om utökade privilegier och användarkontokontroll (UAC) i Windows finns i UAC-processer och interaktioner på TechNet-webbplatsen.

  4. I kommandotolken skriver du (ersätter din domänspecifika information) Dsacls [unikt namn på AdminSDHolder-objektet i din domän] /G [hanteringskontot UPN]:RPWP; medlem.

    Skärmbild som visar kommandotolken.

    Föregående kommando (som inte är skiftlägeskänsligt) fungerar på följande sätt:

    • Dsacls-uppsättningar eller visar ACL:er för katalogobjekt

    • CN=AdminSDHolder,CN=System,DC=TailSpinToys,DC=msft identifierar objektet som ska ändras

    • /G anger att ett beviljande av ACE konfigureras

    • PIM001@tailspintoys.msft är användarens huvudnamn (UPN) för säkerhetsobjektet som ACL:erna ska beviljas

    • RPWP beviljar behörigheter för läsegenskap och skrivegenskaper

    • Medlem är namnet på egenskapen (attributet) som behörigheterna ska anges på

    Om du vill ha mer information om hur du använder Dsacls skriver du Dsacls utan några parametrar i en kommandotolk.

    Om du har skapat flera hanteringskonton för domänen bör du köra kommandot Dsacls för varje konto. När du har slutfört ACL-konfigurationen för objektet AdminSDHolder bör du tvinga SDProp att köras eller vänta tills den schemalagda körningen har slutförts. Information om hur du tvingar SDProp att köras finns i "Köra SDProp manuellt" i bilaga C: Skyddade konton och grupper i Active Directory.

    När SDProp har körts kan du kontrollera att de ändringar du gjort i AdminSDHolder-objektet har tillämpats på skyddade grupper i domänen. Du kan inte verifiera detta genom att visa ACL:en på AdminSDHolder-objektet av de skäl som beskrivits tidigare, men du kan kontrollera att behörigheterna har tillämpats genom att visa ACL:er för skyddade grupper.

  5. Kontrollera att du har aktiverat avancerade funktioner i Active Directory Användare och datorer. Om du vill göra det klickar du på Visa, letar upp gruppen Domänadministratörer, högerklickar på gruppen och klickar på Egenskaper.

  6. Klicka på fliken Säkerhet och klicka på Avancerat för att öppna dialogrutan Avancerade säkerhetsinställningar för domänadministratörer .

    Skärmbild som visar hur du öppnar dialogrutan Avancerade säkerhetsinställningar för domänadministratörer.

  7. Välj Tillåt ACE för hanteringskontot och klicka på Redigera. Kontrollera att kontot endast har beviljats behörigheten Läsmedlemmar och Skriv medlemmar i DA-gruppen och klicka på OK.

  8. Klicka på OK i dialogrutan Avancerade säkerhetsinställningar och klicka på OK igen för att stänga egenskapsdialogrutan för DA-gruppen.

    Skärmbild som visar hur du stänger dialogrutan för egenskapen.

  9. Du kan upprepa föregående steg för andra skyddade grupper i domänen. behörigheterna ska vara desamma för alla skyddade grupper. Nu har du slutfört skapandet och konfigurationen av hanteringskontona för de skyddade grupperna i den här domänen.

    Note

    Alla konton som har behörighet att skriva medlemskap i en grupp i Active Directory kan också lägga till sig själv i gruppen. Det här beteendet är avsiktligt och kan inte inaktiveras. Därför bör du alltid ha hanteringskonton inaktiverade när de inte används och bör noga övervaka kontona när de är inaktiverade och när de används.

Verifiera inställningar för grupp- och kontokonfiguration

Nu när du har skapat och konfigurerat hanteringskonton som kan ändra medlemskapet för skyddade grupper i domänen (som innehåller de mest privilegierade EA-, DA- och BA-grupperna) bör du kontrollera att kontona och deras hanteringsgrupp har skapats korrekt. Verifieringen består av följande allmänna uppgifter:

  1. Testa gruppen som kan aktivera och inaktivera hanteringskonton för att kontrollera att medlemmar i gruppen kan aktivera och inaktivera kontona och återställa sina lösenord, men kan inte utföra andra administrativa aktiviteter på hanteringskontona.

  2. Testa hanteringskontona för att kontrollera att de kan lägga till och ta bort medlemmar i skyddade grupper i domänen, men kan inte ändra andra egenskaper för skyddade konton och grupper.

Testa gruppen som ska aktivera och inaktivera hanteringskonton

  1. Om du vill testa aktivering av ett hanteringskonto och återställa lösenordet loggar du in på en säker administrativ arbetsstation med ett konto som är medlem i den grupp som du skapade i bilaga I: Skapa hanteringskonton för skyddade konton och grupper i Active Directory.

    Skärmbild som visar hur du loggar in på det konto som är medlem i den grupp som du skapade.

  2. Öppna Active Directory-användare och datorer, högerklicka på hanteringskontot och klicka på Aktivera konto.

    Skärmbild som visar menyalternativet Aktivera konto.

  3. En dialogruta ska visas som bekräftar att kontot har aktiverats.

    Skärmbild som visar att kontot har aktiverats.

  4. Återställ sedan lösenordet på hanteringskontot. Det gör du genom att högerklicka på kontot igen och klicka på Återställ lösenord.

    Skärmbild som visar menyalternativet Återställ lösenord.

  5. Skriv ett nytt lösenord för kontot i fälten Nytt lösenord och Bekräfta lösenord och klicka på OK.

    Skärmbild som visar var det nya lösenordet ska skrivas.

  6. En dialogruta ska visas som bekräftar att lösenordet för kontot har återställts.

    Skärmbild som visar meddelandet som bekräftar att lösenordet för kontot har återställts.

  7. Försök nu att ändra ytterligare egenskaper för hanteringskontot. Högerklicka på kontot och klicka på Egenskaper och klicka på fliken Fjärrstyrning .

  8. Välj Aktivera fjärrstyrning och klicka på Använd. Åtgärden bör misslyckas och ett felmeddelande om nekad åtkomst ska visas.

    Skärmbild som visar felet Åtkomst nekad.

  9. Klicka på fliken Konto för kontot och försök att ändra kontots namn, inloggningstimmar eller inloggningsarbetsstationer. Allt ska misslyckas, och kontoalternativ som inte styrs av attributet userAccountControl ska vara nedtonade och otillgängliga för ändringar.

    Skärmbild som visar fliken Konto.

  10. Försök att lägga till hanteringsgruppen i en skyddad grupp, till exempel DA-gruppen. När du klickar på OK visas ett meddelande som informerar dig om att du inte har behörighet att ändra gruppen.

    Skärmbild som visar meddelandet som informerar dig om att du inte har behörighet att ändra gruppen.

  11. Utför ytterligare tester efter behov för att kontrollera att du inte kan konfigurera något på hanteringskontot förutom userAccountControl-inställningar och lösenordsåterställning.

    Note

    Attributet userAccountControl styr flera konfigurationsalternativ för konton. Du kan inte bevilja behörighet att bara ändra några av konfigurationsalternativen när du beviljar skrivbehörighet till attributet.

Testa hanteringskontona

Nu när du har aktiverat ett eller flera konton som kan ändra medlemskapet i skyddade grupper kan du testa kontona för att se till att de kan ändra medlemskap i skyddade grupper, men inte utföra andra ändringar på skyddade konton och grupper.

  1. Logga in på en säker administrativ värd som det första hanteringskontot.

    Skärmbild som visar hur du loggar in på en säker administrativ värd.

  2. Starta Active Directory-användare och datorer och leta upp gruppen Domänadministratörer.

  3. Högerklicka på gruppen Domänadministratörer och klicka på Egenskaper.

    Skärmbild som markerar menyalternativet Egenskaper.

  4. I egenskaper för domänadministratörer klickar du på fliken Medlemmar och klickar på Lägg till. Ange namnet på ett konto som ska få tillfälliga domänadministratörsbehörigheter och klicka på Kontrollera namn. När namnet på kontot är understruket klickar du på OK för att återgå till fliken Medlemmar .

    Skärmbild som visar var du lägger till namnet på det konto som ska ges tillfälliga domänadministratörsbehörigheter.

  5. På fliken Medlemmar för dialogrutan Egenskaper för domänadministratörer klickar du på Använd. När du har klickat på Tillämpa bör kontot förbli medlem i DA-gruppen och du bör inte få några felmeddelanden.

    Skärmbild som visar fliken Medlemmar i dialogrutan Egenskaper för domänadministratörer.

  6. Klicka på fliken Hanterad av i dialogrutan Egenskaper för domänadministratörer och kontrollera att du inte kan ange text i några fält och att alla knappar är nedtonade.

    Skärmbild som visar fliken Hanterad av.

  7. Klicka på fliken Allmänt i dialogrutan Egenskaper för domänadministratörer och kontrollera att du inte kan ändra någon av informationen om den fliken.

    skapa hanteringskonton

  8. Upprepa de här stegen för ytterligare skyddade grupper efter behov. När du är klar loggar du in på en säker administrativ värd med ett konto som är medlem i den grupp som du skapade för att aktivera och inaktivera hanteringskontona. Återställ sedan lösenordet på hanteringskontot som du precis har testat och inaktivera kontot. Du har slutfört konfigurationen av hanteringskontona och gruppen som ansvarar för att aktivera och inaktivera kontona.