Dela via

Bilaga E: Skydda företagsadministratörsgrupper i Active Directory

Bilaga E: Skydda företagsadministratörsgrupper i Active Directory

Gruppen Företagsadministratörer (EA), som finns i skogens rotdomän, bör inte innehålla några användare dagligen, med möjligt undantag för rotdomänens administratörskonto, förutsatt att det skyddas enligt beskrivningen i bilaga D: Skydda Built-In administratörskonton i Active Directory.

Företagsadministratörer är som standard medlemmar i gruppen Administratörer i varje domän i skogen. Du bör inte ta bort EA-gruppen från administratörsgrupperna i varje domän eftersom EA-rättigheter sannolikt kommer att krävas i händelse av ett haveriberedskapsscenario för skogen. Skogens företagsadministratörsgrupp bör skyddas enligt beskrivningen i de stegvisa instruktionerna som följer.

För gruppen Företagsadministratörer i skogen:

  1. I GPO:er som är länkade till organisationsenheter som innehåller medlemsservrar och arbetsstationer i varje domän bör gruppen Företagsadministratörer läggas till i följande användarrättigheter i Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelningar av användarrättigheter:

    • Neka åtkomst till den här datorn från nätverket

    • Neka inloggning som batchjobb

    • Neka inloggning som en tjänst

    • Neka inloggning lokalt

    • Neka inloggning via Fjärrskrivbordstjänster

  2. Konfigurera granskning för att skicka aviseringar om några ändringar görs i egenskaperna eller medlemskapet i gruppen Företagsadministratörer.

Stegvisa instruktioner för att ta bort alla medlemmar från gruppen Företagsadministratörer

  1. I Serverhanteraren klickar du på Verktyg och sedan på Active Directory-användare och datorer.

  2. Om du inte hanterar rotdomänen för skogen högerklickar du på <Domän> i konsolträdet och klickar sedan på Ändra domän (där <Domän> är namnet på den domän som du administrerar för närvarande).

    Skärmbild som markerar menyalternativet Ändra domän.

  3. I dialogrutan Ändra domän klickar du på Bläddra, väljer rotdomänen för skogen och klickar på OK.

    Skärmbild som visar knappen OK i dialogrutan Ändra domän.

  4. Så här tar du bort alla medlemmar från EA-gruppen:

    1. Dubbelklicka på gruppen Företagsadministratörer och klicka sedan på fliken Medlemmar .

      Skärmbild som visar fliken Medlemmar i gruppen Företagsadministratörer.

    2. Välj en medlem i gruppen, klicka på Ta bort, klicka på Ja och klicka på OK.

  5. Upprepa steg 2 tills alla medlemmar i EA-gruppen har tagits bort.

Stegvisa instruktioner för att skydda företagsadministratörer i Active Directory

  1. I Serverhanteraren klickar du på Verktyg och sedan på Grupprinciphantering.

  2. I konsolträdet expanderar du <Forest>\Domains\<Domain> och sedan Grupprincipspolicyobjekt (där <Forest> är namnet på skogen och <Domain> är namnet på den domän där du vill ställa in grupprincipen).

    Note

    I en skog som innehåller flera domäner bör ett liknande GPO skapas i varje domän som kräver att gruppen Företagsadministratörer skyddas.

  3. Högerklicka på grupprincipobjekti konsolträdet och klicka på Ny.

    Skärmbild som visar menyalternativet Nytt på menyn Gruppolicyobjekt.

  4. I dialogrutan Nytt grupprincipobjekt skriver du <GPO-namn> och klickar på OK (där <GPO-namnet> är namnet på det här grupprincipobjektet).

    Skärmbild som visar var du skriver grupprincipobjektets namn och väljer källstart-grupprincipobjektet.

  5. Högerklicka på <GPO-namn> i informationsfönstret och klicka på Redigera.

  6. Gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principeroch klicka på Tilldelning av användarrättigheter.

    Skärmbild som visar var du väljer Tilldelning av användarrättigheter.

  7. Konfigurera användarrättigheterna för att förhindra att medlemmar i gruppen Företagsadministratörer får åtkomst till medlemsservrar och arbetsstationer via nätverket genom att göra följande:

    1. Dubbelklicka på Neka åtkomst till den här datorn från nätverket och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Företagsadministratörer, klicka på Kontrollera namn och klicka på OK.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i gruppen Företagsadministratörer kommer åt medlemsservrar och arbetsstationer via nätverket.

    4. Klicka på OK och OK igen.

  8. Konfigurera användarrättigheterna för att förhindra att medlemmar i gruppen Företagsadministratörer loggar in som ett batchjobb genom att göra följande:

    1. Dubbelklicka på Neka inloggning som ett batchjobb och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

      Note

      I en skog som innehåller flera domäner klickar du på Platser och väljer skogens rotdomän.

    3. Skriv Företagsadministratörer, klicka på Kontrollera namn och klicka på OK.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i gruppen Företagsadministratörer loggar in som ett batchjobb.

    4. Klicka på OK och OK igen.

  9. Konfigurera användarrättigheterna för att förhindra att medlemmar i EA-gruppen loggar in som en tjänst genom att göra följande:

    1. Dubbelklicka på Neka logga som tjänst och välj Definiera dessa policyinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka sedan på Bläddra.

      Note

      I en skog som innehåller flera domäner klickar du på Platser och väljer skogens rotdomän.

    3. Skriv Företagsadministratörer, klicka på Kontrollera namn och klicka på OK.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i EA-gruppen loggar in som en tjänst.

    4. Klicka på OK och OK igen.

  10. Konfigurera användarrättigheter för att förhindra att medlemmar i gruppen Företagsadministratörer loggar in lokalt på medlemsservrar och arbetsstationer genom att göra följande:

    1. Dubbelklicka på Neka inloggning lokalt och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka sedan på Bläddra.

      Note

      I en skog som innehåller flera domäner klickar du på Platser och väljer skogens rotdomän.

    3. Skriv Företagsadministratörer, klicka på Kontrollera namn och klicka på OK.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheter för att förhindra att medlemmar i gruppen Företagsadministratörer loggar in lokalt på medlemsservrar och arbetsstationer.

    4. Klicka på OK och OK igen.

  11. Konfigurera användarrättigheterna för att förhindra att medlemmar i gruppen Företagsadministratörer får åtkomst till medlemsservrar och arbetsstationer via Fjärrskrivbordstjänster genom att göra följande:

    1. Dubbelklicka på Neka inloggning via Fjärrskrivbordstjänster och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka sedan på Bläddra.

      Note

      I en skog som innehåller flera domäner klickar du på Platser och väljer skogens rotdomän.

    3. Skriv Företagsadministratörer, klicka på Kontrollera namn och klicka på OK.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i gruppen Företagsadministratörer kommer åt medlemsservrar och arbetsstationer via Fjärrskrivbordstjänster.

    4. Klicka på OK och OK igen.

  12. Om du vill avsluta Redigeraren för grupprinciphanteringklickar du på Filoch klickar på Avsluta.

  13. I Grupprinciphantering länkar du grupprincipobjektet till medlemsservern och arbetsstationsenheterna genom att göra följande:

    1. Gå till <Forest>\Domains\<Domain> (där <Forest> är namnet på skogen och <Domain> är namnet på den domän där du vill ange grupprincipen).

    2. Högerklicka på organisationsenheten som grupprincipobjektet ska tillämpas på och klicka på Länka ett befintligt grupprincipobjekt.

      Skärmbild som visar menyalternativet Länka ett befintligt grupprincipobjekt.

    3. Välj det grupprincipobjekt som du nyss skapade och klicka på OK.

      Skärmbild som visar var du kan välja det grupprincipobjekt som du just skapade.

    4. Skapa länkar till alla andra organisationsenheter som innehåller arbetsstationer.

    5. Skapa länkar till alla andra organisationsenheter som innehåller medlemsservrar.

    6. I en skog som innehåller flera domäner bör ett liknande GPO skapas i varje domän som kräver att gruppen Företagsadministratörer skyddas.

Important

Om jump-servrar används för att administrera domänkontrollanter och Active Directory, bör du säkerställa att jump-servrar finns i en organisationsenhet till vilken denna GPO inte är länkad.

Verifieringssteg

Kontrollera GPO-inställningarna "Neka åtkomst till den här datorn från nätverket"

Från en medlemsserver eller arbetsstation som inte påverkas av GPO-ändringarna (till exempel en "jump server"), försöker komma åt en medlemsserver eller arbetsstation via nätverket som påverkas av GPO-ändringarna. Kontrollera GPO-inställningarna genom att försöka mappa systemenheten med hjälp av kommandot NET USE genom att utföra följande steg:

  1. Logga in lokalt med ett konto som är medlem i EA-gruppen.

  2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  3. I sökrutan skriver du kommandotolken, högerklickar på Kommandotolken och klickar sedan på Kör som administratör för att öppna en upphöjd kommandotolk.

  4. När du uppmanas att godkänna höjningen klickar du på Ja.

    Skärmbild som visar dialogrutan där du godkänner höjningen.

  5. I kommandotolken skriver du net use \\<Server Name>\c$, där <Servernamn> är namnet på den medlemsserver eller arbetsstation som du försöker komma åt via nätverket.

  6. Följande skärmbild visar det felmeddelande som ska visas.

    Skärmbild som visar det felmeddelande som ska visas.

Kontrollera GPO-inställningarna "Neka inloggning som ett batchjobb"

Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

Skapa en Batch-fil

  1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  2. I rutan Sök skriver du anteckningar och klickar på Anteckningar.

  3. I Anteckningar skriver du dir c:.

  4. Klicka på Arkiv och sedan på Spara som.

  5. I rutan Filnamn skriver du <Filnamn>.bat (där <Filnamn> är namnet på den nya batchfilen).

Schemalägga en aktivitet

  1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  2. I sökrutan skriver du schemaläggaren och klickar på Schemaläggaren.

    Note

    På datorer som kör Windows 8 skriver du schemauppgifteri sökrutan och klickar på Schemalägg aktiviteter.

  3. Klicka på Åtgärd och sedan på Skapa aktivitet.

  4. I dialogrutan Skapa aktivitet skriver du <Aktivitetsnamn> (där <Aktivitetsnamn> är namnet på den nya aktiviteten).

  5. Klicka på fliken Åtgärder och klicka på Nytt.

  6. I fältet Åtgärd väljer du Starta ett program.

  7. Under Program/skript klickar du på Bläddra, letar upp och väljer den batchfil som skapades i avsnittet Skapa en Batch-fil och klickar på Öppna.

  8. Klicka på OK.

  9. Klicka på fliken Allmänt .

  10. I fältet Säkerhetsalternativ klickar du på Ändra användare eller grupp.

  11. Skriv namnet på ett konto som är medlem i gruppen EAs, klicka på Kontrollera namn och klicka på OK.

  12. Välj Kör om användaren är inloggad eller inte och välj Lagra inte lösenord. Uppgiften har endast åtkomst till lokala datorresurser.

  13. Klicka på OK.

  14. En dialogruta ska visas och begära autentiseringsuppgifter för användarkontot för att köra uppgiften.

  15. När du har angett autentiseringsuppgifterna klickar du på OK.

  16. En dialogruta som liknar följande bör visas.

    Skärmbild som visar dialogrutan Schemaläggare.

Kontrollera GPO-inställningarna "Neka inloggning som en tjänst"

  1. Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

  2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  3. I rutan Sök skriver du tjänster och klickar på Tjänster.

  4. Leta upp och dubbelklicka på Utskriftshanteraren.

  5. Klicka på fliken Logga in .

  6. Under Logga in som väljer du Det här kontot.

  7. Klicka på Bläddra, skriv namnet på ett konto som är medlem i gruppen EAs, klicka på Kontrollera namn och klicka på OK.

  8. Under Lösenord: och Bekräfta lösenord skriver du det valda kontots lösenord och klickar på OK.

  9. Klicka på OK tre gånger till.

  10. Högerklicka på utskriftshanterarens tjänst och välj Starta om.

  11. När tjänsten startas om bör en dialogruta som liknar följande visas.

    Skärmbild som visar ett meddelande om att Windows inte kunde starta Utskriftshanterarens server.

Återställ ändringar till skrivarspoolertjänsten

  1. Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

  2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  3. I rutan Sök skriver du tjänster och klickar på Tjänster.

  4. Leta upp och dubbelklicka på Utskriftshanteraren.

  5. Klicka på fliken Logga in .

  6. Under Logga in somväljer du kontot Local System och klickar på OK.

Kontrollera GPO-inställningarna "Neka inloggning lokalt"

  1. Från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna försöker du logga in lokalt med ett konto som är medlem i EA-gruppen. En dialogruta som liknar följande bör visas.

    Skärmbild som visar ett meddelande om att inloggningsmetoden du använder inte är tillåten.

Kontrollera GPO-inställningarna "Neka inloggning via Fjärrskrivbordstjänster"

  1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  2. I rutan Sök skriver du anslutning till fjärrskrivbord och klickar sedan på Anslutning till fjärrskrivbord.

  3. I fältet Dator skriver du namnet på den dator som du vill ansluta till och klickar sedan på Anslut. (Du kan också ange IP-adressen i stället för datornamnet.)

  4. När du uppmanas till det anger du autentiseringsuppgifter för ett konto som är medlem i EA-gruppen.

  5. En dialogruta som liknar följande bör visas.

    säkra företagsadministratörsgrupper